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本 书 主要 介绍 使 用 VPN 技术 组 建安 全 网 络 实践 教程 .全 书 分 为 两 个 知识 模块 ,分 别 为 组 建 虚拟 专 
用 网 安全 基础 知识 ,和 使 用 虚拟 专用 网 安全 产品 组 建 虚拟 专用 网 实践 教程 。 知 识 点 包括 : 构建 站 点 到 
站 点 IPSec, 站 点 到 站 点 IPSec VPN( 数 字 签名 ) ,IPSec VPN, 远 程 访问 IPSec VPN( 用 户口 令 ) ,远程 访问 
IPSec VPN(USB-Key 数字 证 书 ) .远程 访问 IPSec VPN 的 授权 控制 .使 用 桥接 模式 构建 IPSec VPN. fii 
用 路 由 器 构建 GRE VPN. 使 用 路 由 器 构建 GRE over IPSec VPN. ibik EARI pR IPSec VPN. 
远程 访问 IPSec VPN 准 入 控制 ,构建 SSL VPN. HÈ SSL VPN 单 臂 通信 实验 等 。 全 书 在 每 个 章节 中 ， 
对 所 使 用 到 相关 安全 产品 的 基本 配置 .基本 界面 .功能 配置 .都 进行 详细 的 讲解 ,以 帮助 读者 熟悉 产品 
使 用 ,并 进一步 诠释 了 其 在 工程 项 日 中 的 实施 方法 。 
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HORE) 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增加 ,但 我 国 
目前 信息 安全 人 才 极 度 医 乏 , 远 远 不 能 满足 金融 、 商 业 、 公 安 、 军 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普 遍 缺 乏 经 验 , 因 此 中 国 计 算 机 学 会 教 
育 专业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 ”信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 "编审 委 
员 会 ,由 我 国信 息 安 全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,共同 指导 
“高 等 院 校 信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指 
导 原 则 ,认真 研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 , 进 
行 了 大 量 前 瞻 性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安 全 专业 的 
发 展 不 断 深入 。 经 过 编 委 会 全 体委 员 及 相关 专家 的 推荐 和 审定 ,确定 了 本 从 
书 首 批 教材 的 作者 ,这 些 作 者 绝 大 多 数 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 
诺 、 又 在 教学 第 一 线 有 丰富 的 教学 经 验 的 学 者 、 专 家 。 

本 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 如 下 : 

(D 体系 完整 结构 合理 、 内 容 先进 。 

O 适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

O 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科 学 技术 的 新 发 展 。 

为 了 保证 出 版 质量 ,我 们 坚持 宁 缺 考 滥 的 原则 ,成 熟 一 本 ,出 版 一 本 ,并 
保持 不 断 更 新 ,力求 将 我 国信 息 安全 领域 教育 ,科研 的 最 新 成 果 和 成 熟 经 验 
反映 到 教材 中 来 。 在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专 
家 的 推荐 和 审定 , 遵 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 如 入 到 本 系列 教 
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材 中 ,以 进一步 满足 大 家 对 外 版 书 的 需求 。 热 切 期 望 广大 教师 和 科研 工作 者 加 入 我 们 的 
队伍 ,同时 也 欢迎 广大 读者 对 本 系列 教材 提出 宝贵 意见 ,以 便 我 们 对 本 系列 教材 的 组 织 、 
编写 与 出 版 工作 不 断 改进 ,为 我 国信 息 安 全 专业 的 教材 建设 与 人 才 培 养 做 出 更 大 的 贡献 。 

“高 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 初 正式 列 入 普通 高 等 教育 “十 一 五 ” 
国家 级 教材 规划 ( 见 教 高 [L2006]9 号 文件 (教育 部 关于 印发 普通 高 等 教育 “十 一 五 ”国家 级 
教材 规划 选 题 的 通知 》) 。 我 们 会 严 把 出 版 环节 ,保证 规划 教材 的 编校 和 印刷 质量 ,按时 完 
成 出 版 任务 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 既 第 一 次 会 
议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 主任 单 
位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 等 学 校 信息 
安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 将 起 到 重要 的 指导 和 推动 
作用 。“ 高 等 院 校 信息 安全 专业 系列 教材 ”将 在 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 
委员 会 的 组 织 和 指导 下 ,进一步 体现 科学 性 、 系 统 性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 
建设 的 新 成 果 , 并 随 着 我 国信 息 安全 学 科 的 发 展 不 断 修订 和 完善 。 

我 们 的 E-mail 地 址 是 : zhangm@tup. tsinghua. edu. cn; 联 系 人 : 张 民 。 


清华 大 学 出 版 社 
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21 世纪 , 随 着 人 类 步 和 信息 社会 ,信息 产业 正成 为 全 球 经 济 发 展 的 主导 
产业 。 计 算 机 科学 与 技术 在 信息 产业 中 占据 了 重要 的 地 位 , 随 着 互联 网 技术 
的 普及 和 推广 ,网 络 技术 更 是 信息 社会 发 展 的 推动 力 ,人 们 日 常 学 习 、 生 活 和 
工作 都 越 来 越 依赖 于 网 络 , 因 此 信息 技术 信息 安全 技术 和 网 络 安全 技术 正 
发 展 成 为 越 来 越 重 要 的 学 科 。 

互联 网 技术 的 发 展 改变 了 人 们 的 生活 ,今天 信息 安全 内 涵 已 发 生 了 根本 
变化 。 安 全 已 从 一 般 性 的 安全 防卫 , 变 成 了 一 种 非常 普通 的 安全 防范 ;从 一 
种 研究 型 的 安全 学 科 , 变 成 了 无 处 不 在 ,与 人 们 学 习 、 生 活 和 工作 息息相关 的 
安全 技术 。 技 术 的 普及 也 推动 了 社会 对 人 才 的 需求 ,因此 建立 起 一 套 完 整 的 
网 络 安全 课程 教学 体系 ,提供 体系 化 的 安全 专业 人 才 培 养 计划 ,培养 一 批 精 
通 安 全 技术 的 专业 人 才 队 伍 , 对 目前 高 校 计算 机 网 络 安全 方向 专业 人 才 的 培 
养 , 显 得 尤为 重要 。 


1 关于 教材 开发 背景 

结合 国家 “十 一 五 ”本 科 计 算 机 专业 课程 规划 体系 ,以 及 深入 领会 教育 部 
计算 机 科学 与 技术 教学 指导 委员 会 编制 的 “计算 机 科学 与 技术 专业 规范 的 知 
识 体系 和 课程 大 纲 "文件 精神 ,为 及 时 反映 目前 网 络 安全 专业 学 科 发 展 动态 ， 
创新 网 络 教材 编辑 委员 会 组 织 编写 了 本 书 。 希 望 编撰 的 网 络 安全 知识 , 既 重 
视 理论 .方法 和 标准 的 介绍 ,又 兼顾 技术 .系统 和 应 用 分 析 , 在 内 容 结 构 和 知 
识 点 布局 上 还 有 所 创新 。 

此 外 随 着 互联 网 技术 的 普及 和 推广 ,日 常 学 习 和 工作 依赖 于 网 络 的 比重 
增加 ,计算 机 网 络 安全 的 实施 和 防范 技术 ,成 为 目前 最 为 瞩目 的 学 习 内 容 。 
根据 上 述 思路 ,创新 网 络 教材 编辑 委员 会 选择 网 络 安全 技术 在 生活 中 具体 应 
用 ,作为 教材 开发 主线 ,规划 出 面向 实际 工程 案例 ,可 操作 、 可 应用、 可 实施 的 
网 络 安全 技术 教程 。 更 希望 规划 的 安全 技术 直观 ,形象 .具体 .可 落实 ,选编 
和 规划 的 安全 知识 具有 专业 化 、 体 系 化 、 全 面 化 特征 ,能 体现 和 代表 当前 最 新 
的 网 络 安全 技术 发 展 方向 。 


2 关于 教材 指导 思想 

通过 市 场 调 查 发 现 , 指 导 计算 机 网 络 安全 实践 教学 内 容 的 教材 非常 缺 
乏 。 翻 阅 市 场 上 数量 有 限 的 安全 类 教材 ,这 些 教 材 品 种 都 偏重 于 网 络 安全 理 
论 诠释 ,而 针对 实际 网 络 安全 工程 实施 、 可 在 课堂 中 动手 实施 的 其 少 。 正 是 
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基于 此 ,创新 网 络 教材 编辑 委员 会 组 织 国 内 院 校 一 线 教师 ,联合 来 自 厂商 专业 工程 师 , 联 
合 开发 了 这 本 覆盖 网 络 安全 技术 专业 教程 ,希望 培养 学 生 对 网 络 安全 技术 动手 能 力 。 

和 同类 以 网 络 安全 技术 为 研究 方向 的 专业 书籍 相 比 ,本 书 更 注重 实际 工作 中 遇 到 的 
安全 问题 的 解决 能 力 。 全 书 以 安全 技术 应 用 为 主线 ,以 培养 学 生 安全 问题 解决 能 力 为 目 
标 , 以 加 强 实际 安全 技能 锻炼 为 根本 ,满足 学 校 安全 类 课程 实践 教学 需要 。 因 此 全 书 在 开 
发 过 程 中 ,强化 实践 教学 能 力 的 培养 ,着 重 讲授 生活 中 的 网 络 安全 问题 ,诠释 对 应 的 安全 
策略 配置 ,最 后 依据 学 校 提供 的 安全 实践 教学 平台 ,直观 .形象 地 诠释 安全 技术 ,帮助 学 生 
理解 抽象 的 网 络 安全 专业 理论 。 


3 关于 教材 开发 内 容 

本 书 主要 是 针对 高 等 院 校 计算 机 科学 与 技术 .通信 工程 .计算 机 网 络 等 相关 专业 ,在 
计算 机 网 络 基础 理论 .网络 安全 基础 理论 学 习 完 成 之 后 ,学习 VPN 技术 的 网 络 安全 实践 
教程 的 配套 用 书 。 全 书 分 为 两 个 知识 模块 ,分 别 介绍 组 建 虚 拟 专 用 网 安全 基础 知识 和 使 
用 虚拟 专用 网 安全 产品 组 建 虚拟 专用 网 实践 教程 。 知 识 点 包括 : 构建 站 点 到 站 点 IPSec， 
站 点 到 站 点 IPSec VPN( 数 字 签名 ) ,IPSec VPN ,远程 访问 IPSec VPN( 用 户口 令 ) ,远程 
访问 IPSec VPNCUSB-Key 数字 证 书 ) ,远程 访问 IPSec VPN 的 授权 控制 ,使 用 桥接 模式 
构建 IPSec VPN ,使 用 路 由 器 构建 GRE VPN ,使 用 路 由 器 构建 GRE over IPSec VPN, TE 
地 址 重生 环境 中 部 署 IPSec VPN ,远程 访问 IPSec VPN 准 入 控制 ,构建 SSL VPN. T zi 
SSL VPN 单 臂 通信 实验 等 。 全 书 在 每 个 章节 中 ,对 所 使 用 到 相关 安全 产品 的 基本 配置 ， 
基本 界面 .功能 配置 ,都 进行 详细 的 讲解 ,以 帮助 读者 熟悉 产品 的 使 用 ,并 进一步 诠释 其 在 
工程 项 目 中 的 实施 方法 。 

全 书包 括 近 十 几 个 难度 不 同 的 组 建 虚 拟 专用 网 络 安全 实验 ,适合 学 生 循序 渐进 地 学 
习 , 可 作为 高 等 院 校 计算 机 科学 与 技术 .通信 工程 .计算 机 网 络 等 相关 专业 本 科 生 或 者 研 
究 生 ,计算 机 网 络 工程 .网 络 安 全 课程 实验 教材 。 全 书 实验 设计 ,以 工程 项 目 需求 为 依据 ， 
旨 在 加 深 学 生 对 组 建 虚拟 专用 网 所 涉及 的 安全 工程 理论 知识 的 理解 ,提高 学 生 组 建 虚 拟 
专用 网 络 实践 能 力 、 分 析 问 题 的 能 力 和 解决 问题 的 能 力 。 


4 关于 教材 使 用 方法 

全 书 提供 的 近 十 多 个 组 建 虚 拟 专用 网 络 安全 实验 ,帮助 学 生 熟 练 掌握 网 络 安全 工程 
师 所 需要 的 基本 技能 。 所 有 实验 操作 都 以 日 常安 全 需求 为 主线 串 接 知识 ,以 问题 解决 过 
程 作为 核心 ,因此 教师 在 使 用 本 书 时 ,可 以 作为 相关 安全 理论 学 习 完成 之 后 的 实验 补充 ， 
帮助 学 生 加 强 对 抽象 安全 理论 的 直观 理解 。 也 可 以 根据 教学 的 实际 情况 ,从 中 选择 部 分 
组 建 VPN 网 络 实验 内 容 , 要 求学 生 在 学 完 理论 之 后 ,通过 适当 数量 和 难度 的 实验 来 补充 
理论 诠释 的 不 足 。 由 于 书 中 全 部 内 容 都 来 自 厂商 实际 工程 案例 ,本 书 可 作为 就 业 前 实习 
用 书 , 通 过 一 定数 量 组 建 虚拟 专用 网 络 安全 工程 案例 学 习 , 积 累 实际 的 组 建 虚拟 专用 网 安 
全 施工 经 验 ,以 增强 施工 能 力 和 故障 排除 能 力 。 

5 关于 课程 环境 安排 

本 书 覆 盖 计 算 机 网 络 安全 规划 组建 和 配置 中 涉及 主流 安全 设备 配置 .管理 技术 , 书 
中 所 有 项 目 都 来 自 于 企业 多 年 积累 的 工程 案例 。 经 过 提炼 ,按照 再 现 企业 工程 项 目的 组 
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织 方式 进行 串 接 ,每 个 工程 项 目 都 详细 介绍 了 工程 名 称 、 工 程 背景 技术 原理 、 工 程 设备 、 
工程 拓扑 工程 规划 工作 过 程 、 结 果 验 证 等 多 个 环节 ,循序 渐进 再 现 企业 工程 项 目 施工 过 
程 ,并 把 这 些 工程 在 网 络 实验 室 中 搭建 出 来 ,积累 工作 中 的 施工 经 验 。 

为 顺利 实施 本 教程 , 除 需要 对 网 络 技术 有 学 习 的 热情 之 外 ,还 需要 具备 基本 的 计算 
机 、 网 络 .安全 基础 知识 。 这 些 基 础 知识 为 学 习 者 提供 一 个 良好 的 脚手架 ,帮助 理解 本 书 
中 的 技术 原理 ,为 网 络 技术 的 进 阶 提供 良好 帮助 。 为 做 好 这 些 安全 实验 ,还 需要 为 本 课程 
提供 一 个 可 实施 交换 、 路 由 、 无 线 和 安全 实验 的 网 络 环 境 , 再 现 企业 网 络 工 程 项 目 。 这 种 
课程 工作 环境 包括 : 一 个 可 以 容纳 40 人 左右 的 网 络 实验 室 ; 不 少 于 4 组 实验 台 。 每 组 实 
验 台中 包括 的 组 网 实验 设备 有 : 二 层 交 换 机 三 层 交 换 机 、 模 块 化 路 由 器 、VPN 安全 设 
备 、 网 络 防 火 墙 、 测 试 计算 机 和 若干 根 网 络 连 接线 (或 制作 工具 )。 

虽然 本 书 选择 的 组 建 虚拟 专用 网 工程 项 目 来 自 厂商 案例 ,使 用 的 组 建 虚拟 专用 网 实 
验 设备 来 自 厂商 ,但 本 课程 在 规划 中 力求 全 部 的 关于 虚拟 专用 网 知识 诠释 和 VPN 技术 
选择 都 具有 通用 性 ,遵循 行业 内 通用 技术 标准 和 行业 规范 。 全 书 中 关于 设备 的 功能 描述 、 
接口 标准 、 技 术 诠 释 、 协 议 细节 分 析 、 命 令 语法 解释 、 命 令 格 式 ,操作 规程 .图 标 和 拓扑 图 形 
的 绘制 方法 ,都 使 用 行业 内 的 标准 ,以 加 强 其 通用 性 。 


6 关于 课程 时 间 安 排 

本 书 希 望 加 强 学 生 组 建 虚拟 专用 网 设备 的 实践 操作 ,积累 未 来 到 一 线 组 建安 全 VPN 
网 络 的 工程 施工 经 验 , 让 学 生 深入 地 理解 组 建 虚 拟 专 用 网 中 使 用 到 相关 安全 设备 的 配置 ， 
熟悉 组 建 虚拟 专用 网 项 目 发 生 的 场景 ,掌握 施工 过 程 。 此 外 借助 网 络 安全 实验 平台 ,还 可 
以 学 习 组 建 虚拟 专用 VPN 网 络 安全 设计 、 网 络 攻防 和 故障 性 能 分 析 等 相关 知识 ,加 强 学 
生 对 网 络 安全 技术 的 理解 和 掌握 ,培养 学 生 的 动手 实践 能 力 和 设计 分 析 能 力 ,培养 创新 型 
AX. 

本 书 可 作为 高 等 院 校 计算 机 科学 与 技术 ,通信 工程 .计算 机 网 络 等 相关 专业 本 科 生 或 
研究 生 学习、 研究 网 络 安全 技术 的 实验 教材 。 其 前 导 性 的 课程 包括 计算 机 网 络 、 局 域 网 
组 建 . 路 由 和 交换 技术 等 基础 性 网 络 技术 。 本 书 的 课程 安排 时 间 在 36 一 72 学 时 不 等 , 根 
据 学 校 具体 教学 计划 安排 来 确定 ,可 选择 全 部 的 内 容 作为 实验 对 象 ,也 可 选择 部 分 内 容 作 
为 实验 对 象 。 课 程 时 间 一 般 安排 在 三 年 级 学 期 段 :学 生 在 学 完 基础 网 络 技术 后 ,作为 基础 
技术 的 提高 和 补充 。 此 外 本 书 还 可 以 作为 社会 上 培训 企业 网 络 安全 专业 认证 的 培训 教材 
以 及 网 络 设计 师 、 网 络 工 程 师 .系统 集成 工程 师 以 及 其 他 专业 技术 人 员 的 技术 参考 书 。 


7. 关于 课程 资源 
不 同 的 专业 课程 教学 都 具有 其 本 身 的 针对 性 。 强 化 网 络 安全 技术 专业 实践 能 力 、 强 
化 安全 技术 应 用 和 安全 技能 素养 的 培养 ,是 本 课程 区 别 于 传统 网 络 安全 专业 课程 特色 之 
一 。 即 使 在 目前 众多 以 技能 为 教学 实验 课程 中 ,本 课程 也 具有 其 他 课程 不 能 比拟 的 特性 。 
无 论 是 前 期 为 保证 课程 的 有 效 实施 ,方便 学 校 的 管理 ,在 课程 实施 环境 (网 络 实验 室 ) 上 投 
和 人 资金 ,还 是 在 课程 规划 上 的 创新 .实验 手段 的 多 样 性 上 ,本 课程 在 研发 上 投入 的 人 力 MI 
力 都 具有 绝对 优势 。 
为 有 效 保证 课程 实验 的 有 效 实施 ,保证 课程 教学 资源 的 长 期 提供 ,安全 案例 的 积累 、 
vI 
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最 新 安全 技术 的 更 新 、 新 技术 的 学 习 、 课 程 学 习 中 的 技术 交流 和 讨论 等 ,本 课程 的 研发 队 
伍 为 此 还 专门 投入 人 力 和 物力 ,为 本 课程 建设 有 专门 的 实践 教学 俱乐部 资源 共享 基地 ,以 
有 效 支 持 课 程 在 实施 的 过 程 中 ,资源 的 更 新 ,疑难 问题 的 解决 ,课程 实施 讨论 等 一 系列 支 
持 和 服务 工作 ,详细 内 容 可 以 访问 和 本 课程 配套 网 站 : http://www. labclub. com. cn ,在 
网 站 上 可 以 获得 更 多 的 资源 支持 。 


8 关于 课程 开发 队伍 

本 书 由 创新 网 络 教 材 编辑 委员 会 组 织 来 自 院 系 教学 一 线 的 专家 教师 ,联合 来 自 厂商 
专业 工程 师 协作 编写 完成 。 这 些 工 作 在 各 行业 内 的 专家 ,把 自己 多 年 来 在 各 自 领 域 中 积 
累 的 网 络 组 建 虚 拟 专用 网 安全 技术 及 工作 经 验 ,以 及 对 组 建 虚 拟 专 用 网 络 安全 技术 的 深 
刻 理 解 ,凝结 成 本 书 。 

金 汉 均 博士 ,华中 师范 大 学 计算 机 科学 系 教授 ,主要 研究 方向 是 “网 上 虚拟 现实 中 的 
关键 技术 和 最 优化 算法 应 用 ”等 。 近 年 来 ,其 在 网 络 安 全 领域 的 研究 也 具有 突出 成 就 ,发 
表 了 大 量 论文 ,其 中 十 五 篇 被 世界 SCI, EI,ISTP 三 大 检索 企业 收录 。 其 长 期 在 教学 一 线 
从 事 网 络 工程 技术 的 教学 经 验 和 研究 工作 成 果 , 以 及 其 在 网 络 安全 领域 的 技术 积累 ,为 全 
书 技术 方向 引导 、 知 识 体系 的 选择 .技术 的 诠释 方法 正确 性 提供 了 重要 保证 。 

仲 红 教授 ,2005 年 中 国 科 学 技术 大 学 计算 机 系 博 士 研究 生 毕 业 , 获 工学 博士 学 位 。 
硕士 生 导师 。 安 徽 省 高 校 首 批 中 青年 骨干 教师 培养 对 象 , 现 为 网 络 安全 专业 建设 带头 人 。 

汪 双 项 高 级 工程 工程 师 , 毕 业 于 北京 师范 大 学 ,硕士 。 熟 悉 思科 网 络 和 锐 捷 网 络 产品 
及 方案 ,拥有 厂商 的 工作 经 历 , 以 及 面 对 不 同 厂 商 的 安全 设备 ,针对 应 用 和 实施 网 络 安全 
防范 的 能 力 。 他 拥有 多 年 在 网 络 一 线 从 事 工程 师 .培训 讲师 的 工作 背景 ,参与 过 多 个 网 络 
工程 整 网 安全 的 规划 、 有 实施 经 历 ,对 再 现 企业 安全 工程 实验 的 体例 和 样式 起 到 结构 形成 
作用 。 

此 外 在 本 书 的 编写 过 程 中 ,还 得 到 了 其 他 一 线 教师 .技术 工程 师 等 的 大 力 支持 。 他 们 
积累 多 年 的 来 自 教 学 和 工程 一 线 的 工作 经 验 ,为 本 书 的 真实 性 .专业 性 教学 的 方便 性 和 
实施 的 方便 性 提供 了 有 力 的 支持 。 

本 书 规划 、 编 辑 的 过 程 历经 三 年 多 的 时 间 ,前 后 经 过 多 轮 修订 ,得 到 很 多 人 力 支持 ,其 
改革 力度 之 大 , 远 远 超过 前 期 策划 者 原先 的 估计 ,加 之 课程 组 文字 水 平 有 限 , 错 漏 之 处 在 
所 难免 , 敬 请 广大 读者 指正 (labserv@ruijie. com. cn) ! 


创新 网 络 教材 编辑 委员 会 


使 用 说 明 


为 帮助 学 生 全 面 理解 安全 技术 细节 ,建立 直观 的 网 络 安 全 印象 ,本 书 每 
一 实验 开始 环节 ,都 为 读者 引入 一 个 来 自 企 业 真 实 网 络 安 全 问题 ,建立 教学 、 
学 习 环 境 , 让 读者 深入 到 网 络 安全 的 环境 中 ,了 解 本 节 安 全 知识 内 容 , 了 解 发 
生 在 真实 网 络 工程 项 目 中 的 场景 ,了 解 相应 施工 中 需要 的 技术 。 

在 全 书 关键 技术 解释 和 工程 方案 实施 中 ,会 涉及 一 些 网 络 专业 术语 和 词 
汇 ,为 方便 大 家 今后 在 工作 中 的 应 用 ,全 书 采用 业界 标准 的 技术 和 图 形 绘制 
方案 。 全 书 中 使 用 相关 的 符号 ,以 及 网 络 拓扑 图 形 惯 有 的 风格 和 惯例 ,本 书 
中 使 用 的 命令 语法 规范 约定 如 下 。 

。 竖 线 “| "表示 分 隔 符 ,用 于 分 开 可 选择 的 选项 。 

。 星 号 ”x "表示 可 以 同时 选择 多 个 选项 。 

。 方 括号 "[J” 表 示 可 选项 。 

。， 大 括号 “()}” 表 示 必 选项 。 

。 粗 体 字 表 示 按 照 显 示 的 文字 输入 的 命令 和 关键 字 。 在 配置 的 示例 和 

输出 中 , 粗 体 字 表 示 需 要 用 户 手工 输入 的 命令 (例如 show 命令 )。 

。 斜体 字 表 示 需 要 用 户 输入 的 具体 值 。 

以 下 为 本 书 中 所 使 用 的 图 标示 例 。 


9989 


接 入 交换 机 ^n "NT 核心 交换 机 EHR 三 层 堆栈 
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带 无 线 网 卡 室外 天 线 台式 机 笔记 本 SAM 服务 器 ” 认证 客户 端 
的 笔记 本 
ma 黑客 2 黑客 3 打印 机 i IP 电 话 
磁带 库 磁盘 阵列 防火 墙 VPN 网 关 IDS 入 侵 IPS 入 侵 


检测 系统 保护 系统 


感谢 提供 网 络 产品 和 方案 的 锐 捷 网 络 有 限 公 司 ,为 全 书 提供 多 个 来 自 不 同行 业 的 工 
程 案例 。 为 方便 对 工程 项 目的 技术 细节 诠释 ,本 书 技术 描述 主要 依托 锐 捷 网 络 RGNOS 
网 络 操作 系统 展开 。 但 在 书籍 中 出 现 的 所 有 命令 和 术语 ,同样 具有 通用 性 ,能 兼容 目前 网 
络 工程 施工 中 应 用 到 的 所 有 主流 设备 。 并 且 本 书 中 讲述 的 技术 原理 ,以 及 针对 网 络 问 题 
se 同样 可 以 适用 于 所 有 现实 网 络 工作 场景 。 

管 得 到 了 众多 一 线 授课 教师 及 业内 专家 建议 ,但 面 对 复 杂 的 工程 选择 ,繁杂 网 络 技 
We。 工作 ,创新 教材 编辑 委员 会 深 知 仍然 难免 有 所 
错漏 ,还 望 读者 批评 指正 。 

同时 也 欢迎 读者 多 提 宝 贵 意见 ,邮件 请 发 至 labserv@ruijie. com. cn。 
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【实验 名 称 】 
使 用 路 由 器 构建 站 点 到 站 点 IPSec VPN. 


【实验 目的 】 
学 习 在 路 由 器 上 配置 站 点 到 站 点 (Site-to-Site)IPSec(IP security. IPSec) VPN 隧道 ， 
加 深 对 IPSec 理解 。 


【背景 描述 】 

北京 的 某 公 司 在 上 海 设立 了 分 公司 ,分 公司 要 远程 访问 总 公司 的 各 种 网 络 资源 ,如 
CRM 系统 .FTP 服务 器 等 。 公 司 担心 直接 在 Internet 上 传输 公司 内 部 数据 本 身 存在 安 
全 隐患 ,希望 通过 IPSec VPN 技术 ,实现 数据 的 安全 传输 。 


【需求 分 析 】 

需求 : 解决 上 海 分 公司 和 北京 总 公司 之 间 , 通 过 Internet 进行 数据 传输 的 安全 问题 。 

分 析 : IPSec VPN 技术 通过 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技术 、 认 证 技术 等 ,有 效 地 
保证 了 数据 在 Internet 传输 的 安全 性 ,是 目前 最 安全 、 使 用 最 广泛 的 VPN 技术 。 因 此 通过 
在 通信 双方 建立 IPSec VPN 的 加 密 隧道 ,实现 分 公司 和 总 公司 之 间 数 据 的 安全 传输 。 


【实验 拓扑 】 

如 图 1-1 所 示 网 络 拓扑 ,是 某 公 司 为 解决 上 海 分 公司 和 北京 总 公司 之 间 , 通 过 
Internet 进行 数据 传输 的 安全 问题 。 分 公司 要 远程 访问 总 公司 的 各 种 网 络 资源 ,需要 在 
Internet 上 传输 数据 ,公司 希望 通过 在 双方 接 入 路 由 器 上 ,配置 站 点 到 站 点 (Site-to-Site) 
的 IPSec VPN 隧道 技术 ,实现 数据 在 Internet. 上 的 安全 传输 。 
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图 1-1 构建 站 点 到 站 点 IPSec VPN 网 络 拓扑 


mum 第 1 章 基于 路 由 器 VPN 安全 mmm 


【实验 设备 】 
路 由 器 : 3 台 ;PC: 2 台 。 


【预备 知识 】 

VPN 基础 知识 

VPN(Virtual Private Network) 即 虚拟 专用 网 技术 ,所 谓 虚 拟 是 指 用 户 不 需要 拥有 
实际 的 长 途 数 据 线 路 ,而 是 使 用 Internet 公众 数据 网 络 的 长 途 数 据 线 路 。 所 谓 专 用 网 络 
指 用 户 可 以 为 自己 制定 一 个 最 符合 自己 需求 的 网 络 。 

虚拟 专用 网 不 是 真正 的 专用 网 络 , 却 能 够 实现 专用 网 络 的 功能 。VPN 虚拟 专 网 技术 
在 Internet 公共 网 络 中 建立 私有 专用 网 络 ,企业 内 部 保密 的 数据 通过 在 公 网 上 建立 的 安 
全 的 “加 密 管道 ,在 公共 网 络 中 传播 。 

虚拟 专用 网 中 的 数据 通过 安全 “加 密 管道 "在 公共 网 络 中 传播 ,企业 只 需要 租用 本 地 
的 数据 专线 ,或 者 用 户 拨号 方式 连接 上 本 地 的 公共 信息 网 ,就 可 以 互相 传递 信息 ,实现 分 
散 地 点 间 的 企业 内 部 用 户 ,安全 地 连接 进入 远程 企业 网 中 ,从 而 实现 安全 数据 传输 的 日 
的 。IETF 草案 理解 基于 IP 的 VPN 为 :“ 使 用 IP 机 制 仿真 出 一 个 私有 的 广域网 ,通过 
私有 的 隧道 技术 ,在 公共 数据 网 络 上 仿真 一 条 点 到 点 的 专线 技术 。 

VPN 技术 的 出 现 , 使 企业 不 再 依赖 于 昂贵 的 长 途 拨号 以 及 长 途 专线 服务 ,而 代 之 以 
本 地 ISP 提供 的 VPN 服务 。 从 企业 中 心 站 点 铺设 至 当地 ISP 的 专线 ,要 比 传统 WAN fit 
决 方案 中 长 途 专线 短 得 多 ,成 本 也 低廉 得 多 。 

Internet 所 具备 的 高 带宽 、 低 费用 以 及 无 限 连 接 特性 ,对 企业 具有 极 大 的 诱惑 性 ,但 
Internet 本 身 所 具有 的 开放 性 和 松散 管理 特征 ,也 使 企业 面临 的 网 络 安全 问题 更 加 尖锐 ， 
此 问题 成 了 Internet 作为 商务 网 络 必须 跨越 的 重大 障碍 。 而 虚拟 专用 网 VPN 技术 ,可 以 
防止 数据 在 公 网 传输 中 被 窃听 ;防止 数据 在 公 网 传输 中 被 算 改 ;可 以 验证 数据 的 真实 来 
源 ; 成 本 低廉 (相对 于 专线 .长途 拨号 ) ;应 用 灵活 、 可 扩展 性 好 ,是 目前 和 今后 一 段 时 间 内 ， 
企业 构建 广域网 络 的 发 展 趋势 , 它 逐 步 成 为 实现 企业 网 络 跨 地 域 安 全 互联 的 主要 技术 
手段 。 

有 了 VPN ,用 户 在 家 里 或 在 路 途中 ,就 可 以 利用 Internet 公共 网 络 , 对 企业 内 部 服务 
器 进行 远程 安全 访问 。 从 用 户 的 角度 来 看 ,VPN 就 是 在 用 户 计算 机 (VPN 客户 机 ) 和 企 
业 服 务 器 (VPN 服务 器 ) 之 间 点 到 点 的 连接 。 由 于 数据 通过 一 条 仿真 专线 传输 ,用 户 感 觉 
不 到 公共 网 络 的 实际 存在 , 像 在 专线 上 一 样 处 理 企业 内 部 信息 。 

VPN 可 以 广泛 应 用 于 各 个 领域 ,使 企业 通过 公共 网 络 在 公司 总 部 和 各 远程 分 部 ,以 
及 客户 之 间 建 立 快捷 、 安 全 、 可 靠 的 通信 。 这 种 连接 方式 在 概念 上 等 同 于 传统 广域网 。 在 
满足 基本 应 用 要 求 后 ,有 3 类 用 户 比较 适合 采用 VPN. 

CD 位 置 众多 ,特别 是 单个 用 户 和 远程 办 公 室 站 点 多 ,例如 ,企业 用 户 、 远 程 教育 
HP; 

(2) 用 户 / 站 点 分 布 范 围 广 ,彼此 之 间 的 距离 远 ,遍布 全 球 各 地 , 需 通过 长 途 电 信 , 其 
至 国际 长 途 手 段 联系 的 用 户 ; 

(3) 带宽 和 时 延 要 求 相对 适中 的 用 户 ; 
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OD 对 线路 保密 性 有 一 定 要 求 的 用 户 。 

相对 而 言 ,以 下 4 种 情况 可 能 并 不 适 于 采用 VPN: 

CD 非常 重视 传输 数据 的 安全 性 ; 

(2) 不 管 价格 多 少 , 性 能 都 被 放 在 第 一 位 的 情况 ; 

G) 采用 不 常见 的 协议 ,不 能 在 IP 隧道 中 传送 应 用 的 情况 ; 

(4) 大 多 数 通信 是 实时 通信 的 应 用 ,如 语音 和 视频 。 

IPSec 工作 原理 

由 于 需要 在 Internet 上 传输 公司 内 部 的 私有 信息 ,VPN 用 户 对 数据 的 安全 性 都 比较 
关心 ,安全 问题 是 VPN 的 核心 问题 。 目 前 VPN 主要 采用 四 项 技术 来 保证 安全 ,这 四 项 
技术 分 别 是 隧道 技术 (Tunneling) 加 解密 技术 (Encryption & Decryption) 、 密 钥 管 理 技 
术 (Key Management) ,使 用 者 与 设备 身份 认证 技术 (Authentication)。 通 过 这 四 项 安全 
技术 来 保证 企业 远程 办 公 员 工 安全 访问 公司 内 部 网 络 。 

其 中 隧道 技术 是 VPN 的 基本 技术 ,类 似 于 点 对 点 连接 技术 , 它 在 公用 网 建立 一 条 专 
用 数据 通道 (隧道 ) ,让 数据 包 通 过 这 条 隧道 传输 。 隧 道 由 隧道 协议 形成 ,分 为 第 二 、 三 层 
隧道 协议 。 第 二 层 隧 道 协议 是 先 把 各 种 网 络 协议 封装 到 PPP 中 ,再 把 整个 数据 包装 人 隧 
道 协议 中 , 双 层 封装 形成 的 数据 包 通 过 第 二 层 协议 进行 传输 。 常 见 的 第 二 层 隧道 协议 有 
L2F、PPTP、L2TP 等 。 其 中 L2TP 协议 由 PPTP 与 L2F 融合 而 形成 。 第 三 层 隧道 协议 
是 把 各 种 网 络 协议 ,直接 装 和 隧道 协议 中 ,形成 的 数据 包 依 靠 第 三 层 协议 进行 传输 ,其 中 
第 三 层 隧道 协议 有 VTP IPSec 等 。IPSec(IP Security) 是 最 常见 第 三 层 隧道 协议 ,由 一 
组 RFC 文档 组 成 ,定义 了 一 个 系统 来 提供 安全 协议 选择 .安全 算法 ,确定 服务 所 使 用 密 钥 
等 服务 ,从 而 在 IP 层 提供 安全 保障 。 

Internet Protocol Security(IPSec) 是 由 Internet Engineering Task Force(IETF) 组 织 
定义 的 安全 标准 框架 ,是 保护 IP 协议 安全 通信 的 标准 。 它 主要 对 IP 协议 分 组 进行 加 密 
和 认证 ,用 以 提供 公用 和 专用 网 络 的 端 对 端 加 密 和 验证 服务 。IPSec 具有 互 操 作 性 、 高 质 
量 、 基 于 加 密 特征 ,适用 于 IPv4 和 1IPv6 的 协议 规范 。IPSec 能 够 对 数据 的 存 取 控制 .机 密 
性 、 完 整 性 和 可 用 性 提供 保证 ,并 能 够 防止 重 放 攻击 。IPSec 可 应 用 在 IP 层 对 IP 包 进 行 
封装 ,或 在 IP 层 与 数据 链 路 层 之 间 提 供 安 全 保障 。 

IPSec 协议 的 工作 原理 类 似 于 包 过 滤 防 火 墙 ,可 以 看 做 是 对 包 过 滤 防 火 墙 的 一 种 扩 
展 。 当 接收 到 一 个 TP 数据 包 时 , 包 过 滤 防 火 墙 解析 数据 包头 部 信息 ,把 头 部 信息 放 在 一 
个 规则 表 中 进行 匹配 。 当 找到 一 个 相 匹 配 的 规则 时 , 包 过 滤 防 火 墙 按 照 规则 制定 的 策略 ， 
对 接收 到 的 TP 数据 包 进行 两 种 处 理 一 一 丢弃 或 转发 。 而 IPSec 则 把 头 部 信息 通过 查询 
安全 策略 数据 库 (Security Policy Database,SD) 来 决定 对 接收 到 的 TP 数据 包 的 处 理 。 另 
外 不 同 于 包 过 滤 防 火 墙 的 处 理 方法 是 ,IPSec 技术 对 IP 数据 包 的 处 理 方法 除了 丢弃 、 直 
接 转 发 ( 绕 过 IPSec) 外 ,还 有 一 种 , 即 进行 IPSec 安全 处 理 。 

IPSec 作为 一 个 协议 族 ( 即 一 系列 相互 关联 的 协议 ) 由 以 下 部 分 组 成 : 

CD 保护 分 组 流 的 协议 s 

© 用 来 建立 这 些 安全 分 组 流 的 密 钥 交换 协议 ,包括 : 加 密 分 组 流 的 封装 安全 载荷 协 
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议 (ESP) 及 较 少 使 用 的 认证 头 协议 (AH) 。 

IPSec 是 标准 的 第 三 层 安 全 协议 ,用 于 保护 IP 数据 包 或 上 层 数 据 , 它 可 以 定义 哪些 
数据 流 需要 保护 ,怎样 保护 以 及 应 该 将 这 些 受 保护 的 数据 流转 发 给 谁 。 由 于 它 工 作 在 网 
络 层 ,因此 可 以 用 于 两 台 主 机 之 间 ,实施 网 络 安全 网 关 之 间 (如 防火 墙 . 路 由 器 ) ,或 主机 与 
网 关 之 间 数据 安全 。 

IPSec 协议 由 3 个 基本 协议 提供 安全 保护 : 认证 协议 头 (AH) 、 安 全 加 载 封装 (ESP) 
和 互联 网 密 匙 管理 协议 (IKMP)。 认 证 协议 头 和 安全 加 载 封装 可 以 通过 分 开 或 组 合 使 
用 ,达到 所 希望 的 保护 等 级 ,用 以 保护 网 络 安全 通信 。 

IPSec 协议 中 ESP 和 AH 安全 协议 都 可 以 提供 网 络 安全 ,如 数据 源 认 证 (确保 接收 到 
的 数据 是 来 自发 送 方 ) ,数据 完整 性 (确保 数据 没有 被 更 改 ) 以 及 防 中 继 保 护 ( 确 保 数 据 到 
达 次 序 的 完整 性 )。 除 此 之 外 ,ESP 协议 还 支持 数据 的 保密 性 ,确保 其 他 人 无 法 读 取 传 送 
的 数据 ,这 实际 上 是 采用 加 密 算法 来 实现 。 

IPSec 的 安全 服务 要 求 支持 共享 钥匙 完成 认证 或 加 密 。 在 IPSec 协议 中 还 引入 了 一 
个 钥匙 管理 协议 , 称 Internet 钥匙 交换 协议 (IKE) ,该 协议 可 以 动态 认证 IPSec 对 等 体 ， 
协商 安全 服务 ,并 自动 生成 共享 钥匙 。 

IPSec 协议 (AH 或 ESP) 保 护 整 个 IP 包 或 IP 包 中 的 上 层 协 议 。IPSec 有 两 种 工作 
方式 : 传输 方式 保护 上 层 协议 ,如 TCP; 隧 道 方式 保护 整个 IP 包 。 在 传输 方式 下 ,IPSec 
包头 加 在 IP 包头 和 上 层 协 议 包 头 之 间 ;而 在 隧道 方式 下 ,整个 IP 包 都 封装 在 一 个 新 的 IP 
包 中 ,并 在 新 的 IP 包头 和 原来 的 IP 包头 之 间 插 入 IPSec 头 。 两 种 IPSec 协议 AH 和 
ESP 都 可 以 工作 在 传输 方式 下 或 隧道 方式 下 。 

认证 头 (Authentication header，AH) 协 议 被 用 来 保证 被 传输 分 组 的 完整 性 和 可 靠 
性 ,此 外 , 它 还 保护 不 受 重 发 攻击 。 认 证 头 试图 保护 IP 数据 报 的 所 有 字段 (那些 在 传输 
IP 分 组 的 过 程 中 要 发 生变 化 的 字段 被 排除 在 外 ) ,实现 数据 发 送 方 的 验证 处 理 。 这 样 就 
可 确保 数据 既 对 未 经 验证 的 站 点 不 可 用 .也 不 能 在 路 由 过 程 中 更 改 。 在 AH 传送 模式 
中 ,验证 头 将 插入 IP 头 和 负载 之 间 ,AH 认证 头 提 供 数据 源 验证 处 理 所 需 要 的 安全 参数 
索引 ,顺序 编号 以 及 其 他 数据 。 

封装 安全 载荷 (ESP) 协 议 对 分 组 提供 了 源 可 靠 性 .完整 性 和 保密 性 的 支持 。 与 
AH 头 不 同 的 是 ,IP 分 组 头 部 不 被 包括 在 内 。ESP 协议 实现 了 发 送 方 的 验证 处 理 和 数据 
加 密 处 理 , 用 以 确保 数据 不 会 被 拦截 ,查看 或 复制 。 在 ESP 传送 模式 中 ,ESP 头 将 插入 
IP 头 和 负载 之 间 ,而 ESP 尾 和 验证 MAC 将 添加 至 数据 包 末 端 。 在 通道 模式 ESP 中 , 整 
个 数据 包 经 过 了 加 密 处 理 , 并 附加 了 新 的 ESP 头 、IP 头 和 验证 尾 。IPSec 与 其 他 业界 规 
范 相 互 兼容 ,IPSec 支持 MD-5 和 SHA-1 等 验证 代码 ,并 支持 DES 和 3DES 用 以 进行 高 
级 加 密 处 理 。 

如 果 在 路 由 器 或 防火 墙 上 实施 了 IPSec 协议 , 它 就 会 为 周边 的 通信 提供 强 有 力 的 安 
全 保障 。IPSec 具有 以 下 一 些 优 点 。 

(1) IPSec 协议 运行 在 传输 层 之 下 ,对 于 上 层 应 用 程序 来 说 是 透明 的 。 当 在 路 由 器 或 
防火 墙 上 安装 IPSec 协议 时 ,无 须 更 改 用 户 或 服务 器 系统 中 的 软件 设置 。 即 使 在 终端 系 
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统 中 执行 IPSec 协议 ,应 用 程序 一 类 的 上 层 软件 也 不 会 被 影响 。 
(2) IPSec 协议 对 终端 用 户 来 说 是 透明 的 ,因此 不 必 对 用 户 进 行 安全 机 制 的 培训 。 

(3) IPSec 协议 可 以 为 个 体 用 户 提供 网 络 传输 的 安全 保障 ,这 样 做 就 可 以 保护 企业 内 
部 的 敏感 信息 。 


【实验 原理 】 


IPSec 安全 性 主要 作用 是 为 IP 数据 通信 提供 安全 服务 。IPSec 不 是 一 个 单独 协议 ， 
它 是 一 套 完整 的 体系 框架 ,主要 包括 AH、ESP 和 IKE 三 个 协议 。 
IPSec 使 用 了 多 种 加 密 算 法 . 散 列 算法 、 密 钥 交 换 方法 等 为 IP 数据 流 提供 安全 性 , 它 


可 以 提供 数据 的 机 密 性 、 数 据 的 完整 性 ,数据 源 认证 和 反 重 放 等 安全 服务 。 


【实验 步骤 】 


第 一 步 : 按 如 图 1-1 所 示 拓 扑 , 连 接 实 验 中 网 络 设备 ,注意 接口 上 地 址 规划 信息 。 


第 二 步 : BUR Internet 路 由 器 R3 接口 信息 。 
R3 configure terminal 

F3(config)4 interface fastEthemet 1/0 

F3(config- if)# ip address 1.1.1.2 255.255.255.252 

R3 (config- if)& exit 

F3(config)4 interface fastEthemet 1/1 


F3(config- if)# exit 
第 三 步 , 配置 R1 与 R2 的 Internet 连通 性 。 


RI4 configure terminal 

RI (config) interface fastEthernet 1/0 

RI (config- if)# ip address 1.1.1.1 255.255.255.252 
RI (config- if)# exit 

RI (config) interface fastEthernet 1/1 

RI (config- if)# ip actiress 192.168.1.1 255.255.255.0 
RI (config- if)# exit 

RI (config) ip route 0.0.0.0 0.0.0.0 1.1.1.2 


R2# configure terminal 

R2 (config)# interface fastEthemet f1/1 

R2 (config- if)# ip address 2.2.2.1 255.255.255.252 
R2 (config- if)& exit 

R2 (config)# interface fastEthemet 1/0 

R2(config- if)# ip address 192.168.2.1 255.255.255.0 
R2 (oonfig- if)# exit 

R2(config)4 ip route 0.0.0.0 0.0.0.0 2.2.2.2 


第 四 步 : 配置 Rl 的 IKE 协议 。 


RI (config)4 crypto isakmp policy 1 ! 创 建 IE 策略 
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RL(isakmp- policy)# encryption 3des ! 使 用 3ms 加 密 算法 

RI (isakmp- policy)# authentication pre- share ! 使 用 预 共享 密 钥 验证 方式 
RL (isakmp- policy) # hash sha ! 使 用 sga-1 算 列 算法 

RI (isakmp- policy)# group 2 ! 使 用 mH 2 

Rl (isakp- policy)# exit 

RL(config)# crypto isakmp key 0 1234567 address 2.2.2.1 ! 配 置 预 共享 密 钥 


第 五 步 : BUE RI 的 IPSec 协议 。 


RI (config)# crypto ipsec transform- set 3des sha esp- 3des esp- sha- hmac 

! 配 置 IPsec 转换 集 , 使 用 FSB 协议 ,3DEs 算 法 和 sta-1 散 列 算法 
Rl (cfg- crypto- trans)# exit 
RI (config)# access- list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 

! 配 置 加 密 访 问 控 制 列表 
RI (config)# crypto map to r2 1 ipsec- isakmp 配置 IPsec 加 密 映射 
RI (config- crypto- map) match address 100 号 | 用 加 密 访 问 控制 列表 
RI (config- crypto- map)# set transform- set 3des sha 中 用 IPsec 转换 集 
RI (config- crypto- map)# set peer 2.2.2.1 ! 配 置 IPsec 对 等 体 地 址 
RI (config- crypto- map) # exit 
RI (config) interface fastEthernet1/0 
Rl (config- if)# crypto map to 12 tfft IPsec 加 密 映 射 应 用 到 接口 
RI (config- if)# exit 


第 六 步 : 配置 R2 的 IKE 协议 。 


R2 (config) crypto isakmp policy 1 

R2 (isakmp- policy)# encryption 3des 

R2 (isakmp- policy)# authentication pre- share 

R2 (isakmp- policy) # hash sha 

R2 (isakmp- policy)# group 2 

R2 (isakmp- policy)# exit 

R2 (config)4 crypto isakmp key 0 1234567 address 1.1.1.1 


第 七 步 : 配置 R2 的 IPSec 协议 。 


R2 (config)# crypto ipsec transform- set 3des sha esp- 3des esp- sha- hac 
R2 (cfg- crypto- trans)4 exit 

R2 (config)# access- list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 
R2 (config)# crypto map to rl 1 ipsec- isakmp 

R2 (config- crypto- map)4 match address 100 

R2 (config- crypto- map)4 set. transform- set 3des sha 

R2 (config- crypto- map)4 set peer 1.1.1.1 

R2 (config- crypto- map) # exit 

R2 (config)# interface fastEthemet1/0 

R2 (config- if)# crypto map to r1 

R2 (config- if)& exit 
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第 八 步 : 配置 PC1 和 PC2 地 址 。 


EC1 的 ipd db Jg 192.169.1.2, ] X: Jy. 192.168.1.1 
PC2 的 IP 地 址 为 192.168.2.2, 网 关 为 192.168.2.1 


第 九 步 : 


答 证 测试 (1)。 


在 PC1 上 使 用 ping 命令 测试 和 PC2 连通 性 ,可 以 ping 通 。 由 于 第 一 个 报 文 用 于 触发 
IKE 协商 并 建立 IPSec 隧道 ,所 以 第 一 个 ping 包 会 由 于 超时 而 未 得 到 响应 ,如 图 1-2 所 示 。 
zinixi 


or>ping 192.168.2.2 


图 1-2 验证 测试 


第 十 步 ; 
COD 查看 RI 的 IKE SA, 可 以 看 到 IKE SA 协商 成 功 ,状态 为 QM_IDLE。 


R14 show crypto isaknp sa 
destination — source state com- id lifetime (second) 
2.2.2. 1.1.1.1 CM IDE 33 85896 


3lc96lf99129c159  O009f3edd/clbba59 

(2) 查看 RI 的 IPSec SA, 可 以 看 到 两 个 IPSec SA 协商 成 功 , 一 个 用 于 入 站 报 文 , 一 
个 用 于 出 站 报 文 。 

R14 show crypto ipsec sa 

Interface: Fastkthernet 1/0 


Crypto map tag:to r2, local addr 1.1.1.1 
media mtu 1500 


item type:static, segno:l, id- 32 

local ident (addr/mask/prot/port): (192.168.1.0/0.0.0.255/0/0) ) 
remote ident (addr/mask/prot/port): (192.168.2.0/0.0.0.255/0/0) ) 
PERMIT 
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3 pkts encaps: 3, $4 pkts encrypt: 3, 4$ pkts digest 3 
3 pkts decaps: 3, 4 pkts decrypt: 3, 4 pkts verify 3 


# send errors 0, # recv errors 0 


Trnbourd esp sas: 
Spi :0x30098aa? (805931682) 
transform: esp- 3des esp- sha- hmac 
in use settings- [Tunnel, ) 
crypto map to r21 
sa timing: remaining key lifetime (k/sec): (4606999/2933) 
IV size: 8 bytes 
Replay detection support:Y 


Outbound esp sas: 
Spi:0xleleOb3f (505285439) 
transform: esp- 3des esp- sha- hmc 
in use settings- (Tunnel, ) 
crypto map to r21 
Sa timing: remaining key lifetime(k/sec): (4606999/2933) 
IV size: 8 bytes 
Replay detection support:Y 


(3) 查看 R2 ffl IKE SA, 可 以 看 到 IKE SA 协商 成 功 ,状态 为 QM. IDLE, 


R2# show crypto isakmp sa 
destination Source state conn- id lifetime (second) 
22.2.1. 1.1.1.1 QM ME 33 85618 


31c961f99129c159  009f3edd/clbba59 


(4) 查看 R2 的 IPSec SA, 可 以 看 到 两 个 IPSec SA 协商 成 功 , 一 个 用 于 入 站 报 文 , 一 
个 用 于 出 站 报 文 。 


R2# show crypto ipsec sa 


Interface: Fastkthernet 1/1 
Crypto map tag:to rl, local addr 2.2.2.1 
media mtu 1500 


item type:static, segno:l, id- 32 

local ident (addr/mask/prot/port): (192.168.2.0/0.0.0.255/0/0) ) 
remote ident (adir/mask/prot/port): (192.168.1.0/0.0.0.255/0/0) ) 
PERMIT 

3 pkts encaps: 3, 4 pkts encrypt: 3, 4 pkts digest 3 

#pkts decaps: 3, 4 pkts decrypt: 3, $ pkts verify 3 


# send errors 0, # recv errors 0 
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JInbcund esp sas: 
Spi :OxleleQb3f (505285439) 
transform: esp- 3des esp- sha- hmac 
in use settings- (Tunnel, } 
crypto map to r11 
Sa timing: remaining key lifetime (k/sec): (4607999/2785) 
IV size: 8 bytes 
Replay detection support:Y 


Outbound esp sas: 
Spi:0x30098aa2 (805931682) 
transform: esp- 3des esp- sha- hmc 
in use settings- (Tunnel, ) 
crypto map to r11 
Sa timing: remaining key lifetime (k/sec): (4607999/2785) 
IV size: 8 bytes 
Replay detection support:Y 
通过 以 上 show 出 状态 信息 可 以 看 出 ,Rl 与 R2 成 功 协商 了 一 个 IKE SA 和 两 个 
IPSec SA( 每 个 方向 各 一 个 ) 。 


【注意 事项 】 

* 双方 配置 的 IKE 策略 和 IPSec 转换 集 要 一 致 , 且 双 方 的 预 共 享 密 钥 要 一 致 。 

。 当 配 置 了 多 个 IKE 策略 和 IPSec 转换 集 时 ,请 确保 双方 能 够 协商 出 一 个 相同 的 策 
略 和 转换 集 。 

。 双方 配置 的 加 密 访问 列表 要 互 为 镜像 。 


【参考 配置 】 


Rl# show ruming- config 


Building configuration. 

Current configuration: 925 bytes 

! 

hostname Rl 

! 

access- list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 


no service password- encryption 
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group 2 
! 
crypto isakmp key 7 076f517c41477152 address 2.2.2.1 
crypto ipsec transform- set 3des sha  esp- 3des esp- sha- hmac 
crypto map to r2 1 ipsec- isakp 
set peer 2.2.2.1 
set transform- set 3des sha 
match address 100 
! 
interface serial 1/2 
clock rate 64000 
! 
interface serial 1/3 
clock rate 64000 
! 
interface FastEthemet 1/0 
ip address 1.1.1.1 255.255.255.252 
crypto map to r2 
duplex auto 
speed auto 
! 
interface FastEthemet 1/1 
ip address 192.168.1.1 255.255.255.0 
duplex auto 
speed auto 
! 
interface Null 0 
! 
ip route 0.0.0.0 0.0.0.0 1.1.1.2 
! 
line con 0 
line aux 0 
line vty 0 4 
login 
end 


R24 show rumning- config 


Building configuration... 
Current configuration : 925 bytes 
hostname R2 
acoess- list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 
! 
no service password- encryption 
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H 
crypto isakmp key 7 076£517c41477152 address 1.1.1.1 
crypto ipsec transform- set 3des sha esp- 3des esp- sha- hmac 
crypto map to rl 1 ipsec- isakp 
set peer 1.1.1.1 
set transform- set 3des sha 
match address 100 
! 
interface serial 1/2 
Clock rate 64000 
interface serial 1/3 
clock rate 64000 
interface FastEthernet 1/0 
ip address 192.168.2.1 255.255.255.0 
duplex auto 
speed auto 
1 
interface FastEthernet 1/1 
ip address 2.2.2.1 255.255.255.252 
crypto map to rl 
duplex auto 
speed auto 
interface Null 0 
1 
ip route 0.0.0.0 0.0.0.0 2.2.2.2 
! 
line con 0 
line aux 0 
line vty 04 
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Clock rate 64000 

! 

interface serial 1/3 
Clock rate 64000 


interface FastEthernet 1/0 
ip address 1.1.1.2 255.255.255.252 
duplex auto 
speed auto 

! 

interface FastEthermet 1/1 
ip address 2.2.2.2 255.255.255.252 
duplex auto 
speed auto 


i2 使 用 路 由 器 构建 GRE VPN 


【实验 名 称 】 

使 用 路 由 器 构建 GRE VPN. 

【实验 目的 】 

学 习 配 置 站 点 到 站 点 (Site-to-Site) 的 GRE VPN 隧道 ,加 深 对 GRE 协议 的 理解 。 
【背景 描述 】 


北京 的 某 公 司 在 上 海 设立 了 分 公司 ,分 公司 要 能 够 访问 总 公司 的 各 种 网 络 资源 ,如 
CRM H FTP 服务 器 等 。 由 于 担心 在 Internet. 上 传输 公司 共享 数据 存在 安全 隐患 , 公 
司 希望 通过 VPN 技术 实现 总 公司 和 分 公司 之 间 的 数据 安全 传输 。 


【需求 分 析 】 
需求 : 解决 上 海 分 公司 和 北京 总 公司 之 间 , 通 过 Internet 进行 公司 内 部 保密 数据 信 
息 传输 的 安全 问题 。 


分 析 : GRE VPN 通过 隧道 技术 有 效 地 保证 了 数据 在 Internet 网 络 上 安全 地 传输 ,并 
且 GRE VPN 技术 支持 对 网 络 上 组 播 和 广播 数据 的 封装 传输 ,还 可 用 于 封装 路 由 协议 报 
12 


m— 1.2 使 用 路 由 器 构建 GRE VPN mm 


文 ,保证 安全 传输 。 


【实验 拓扑 】 

如 图 1-3 所 示 网 络 拓扑 ,是 某 公司 在 上 海 设立 了 新 的 分 公司 ,分 公司 要 远程 访问 总 公 
司 内 网 中 的 各 种 网 络 资源 ,实现 分 公司 和 总 公司 之 间 内 部 信息 共享 。 为 解决 上 海 分 公司 
和 北京 总 公司 之 间 ,通过 Internet 进行 数据 传输 的 安全 问题 ,公司 希望 通过 GRE VPN dx 
术 , 采 用 隧道 加 密 功 能 ,有 效 保证 数据 在 Internet 传输 的 安全 。 


Internet 
总 公司 一 ~ -~ 分 公司 


2 3 SEE 
PCI pig RI 7^ L1.1.030 2220/30 `N, R2 F10 PC2 
s 


1 
2 4 ruo FI a 
2 1 
FI 


> rA 
192.168.1.0/24 Ssa d 192.168.2.0/24 


RI Tunnell:10.1.1.1/24 >- R2 Tunnell:10.1.1.2/24 
图 1-3 路 由 器 构建 GRE VPN 网 络 拓扑 


【实验 设备 】 

路 由 器 : 3 台 ;PC: 2 台 。 
【预备 知识 

GRE 工作 原理 


VPN 隧道 协议 主要 有 三 种 : PPTP、L2TP 和 1IPSec, 其 中 PPTP 和 L2TP 协议 是 工作 
在 OSI/RM 开放 模型 中 的 第 二 层 , 所 以 又 称 之 为 第 二 层 隧道 协议 。 在 VPN 网 络 中 最 常 
见 的 第 三 层 隧道 协议 是 IPSec, 但 另 一 种 通用 路 由 封装 协议 (Generic Routing Encapsulation, 
GRE, 在 RFC 1701 中 有 描述 ) 也 属于 第 三 隧道 协议 。 

GRE 通用 路 由 封装 定义 了 在 任意 一 种 网 络 层 协议 上 ,封装 任意 一 个 其 他 网 络 层 协议 
工作 机 制 ,是 一 个 在 网 络 层 之 间 传 输 数据 包 的 通道 协议 。 也 就 是 说 ,通用 路 由 封装 协议 是 
对 某 些 网 络 层 协 议 ( 如 IP 和 IPX) 的 数据 包 进 行 封 装 ,使 这 些 被 封装 的 数据 包 能 够 在 另 一 
个 网 络 层 协议 (如 IP) 中 安全 传输 。GRE 是 VPN 的 第 三 层 隧 道 协议 , 即 在 协议 层 之 间 采 
用 了 一 种 被 称 之 为 Tunnel( 隧 道 ) 的 技术 。 

GRE 通用 路 由 封装 技术 和 IPSec 类 似 , 将 TP 数据 包 加 上 GRE 头 , 封 装 在 TP 数据 包 
内 ,但 最 大 不 同 是 ,允许 用 户 使 用 IP 协议 封装 IP 包 、IPX 包 和 AppleTalk 包 , 并 支持 全 部 
的 路 由 协议 (如 RIP2、OSPF SE) ,但 对 这 些 数据 包 不 进行 任何 的 加 密 和 认证 ,而 IPSec Hy 
议 只 能 封装 IP 数据 包 。 

GRE 隧道 协议 的 配置 一 般 会 启用 一 个 隧道 接口 ,在 该 接口 中 可 以 预先 定义 好 该 隧道 
的 起 点 ,也 就 是 GRE 数据 包 的 源 TP 地 址 ,以 及 隧道 的 终点 ,也 就 是 GRE 数据 包 的 目的 地 
址 。 在 路 由 器 看 来 GRE 隧道 是 一 个 点 到 点 端口 , 它 可 以 被 加 密 。 网 络 服务 提供 商 ISP 
可 以 对 GRE 隧道 提供 QoS 服务 ,但 这 个 隧道 的 两 端 必须 在 同一 个 ISP 的 网 络 内 。 

这 里 的 隧道 是 指 将 一 种 协议 封装 到 另 一 种 协议 中 。 在 隧道 入 口 处 ,将 被 封装 协议 封 
装 和 封装 协议 ,在 隧道 出 口 处 再 将 被 封装 协议 报 文 取出 。 在 整个 隧道 的 传输 过 程 中 ,被 封 
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装 协议 是 作为 封装 协议 的 负载 。 隧 道 技 术 只 需要 在 隧道 的 出 入口 进行 修改 ,而 对 中 间 部 
分 没有 特殊 要 求 ,较为 容易 实现 。 

一 个 报 文 要 想 在 隧道 中 传输 ,必须 要 经 过 加 封装 与 解 封装 两 个 过 程 。 在 大 多 数 情 况 
下 ,系统 拥有 一 个 有 效 载荷 (或 负载 ) 包 ,需要 将 它 封装 并 发 送 至 某 个 目的 地 。 首 先 将 有 效 
载荷 封装 在 一 个 GRE 包 中 ,然后 将 此 GRE 包 封 装 在 其 他 某 协议 并 进行 转发 。 

解 封装 过 程 和 加 封装 的 过 程 相反 。 从 隧道 接口 收 到 的 IP. 报 文 ,通过 检查 目的 地 址 ， 
发 现 目的 地 就 是 此 路 由 器 时 ,和 剥 掉 IP 报头 ,再 交 给 GRE 协议 处 理 后 (进行 检验 密 钥 检查 
校 验 和 或 报 文 的 序列 号 等 ) , 剥 掉 GRE 报头 后 ,再 交 给 和 对 端 一 样 的 协议 ,对 此 数据 包 进 
行 处 理 。 系 统 收 到 一 个 需要 封装 和 路 由 的 数据 包 , 称 之 为 净 荷 (Payload) ,这 个 净 荷 首先 
被 加 上 GRE 封装 ,成 为 GRE 报 文 ;再 被 封装 在 IP 报 文 中 ,这 样 就 可 完全 由 IP 层 负责 此 
报 文 的 向 前 传输 。 这 个 负责 向 前 传输 的 IP 协议 被 称 为 传递 (Delivery) 协 议 或 传输 
(Transport) 协 议 。 

下 面 以 传输 头 为 IP 报头 为 例 来 介绍 GRE 协议 工作 过 程 。 

在 由 GRE 协议 构建 的 虚拟 专用 网 中 ,GRE 协议 会 在 总 部 和 分 支 结 构 之 间 建 立 一 条 
Tunnel( 是 一 条 逻辑 链 路 ) ,隧道 通过 两 端的 源 IP 地 址 和 目的 IP 地 址 定义 ,私有 数据 会 通 
过 这 条 Tunnel 进行 传输 。 

数据 在 发 送 端 进行 加 密 。 数 据 包 在 由 总 部 向 分 支 企业 发 送 时 ,出 口 路 由 器 通过 数据 
包 的 目的 地 址 ,在 路 由 表 中 确认 此 数据 包 在 传输 中 需要 通过 虚拟 专用 网 建立 的 Tunnel， 
将 数据 包 发 送 到 Tunnel 接口 ,Tunnel 口 对 数据 包 进 行 GRE 封装 ,然后 再 打上 IP 报头 ， 
查询 路 由 表 , 将 数据 包 发 送出 去 。 

封装 好 的 数据 包 在 向 目的 网 络 传输 的 过 程 中 ,途径 的 网 络 设备 按照 数据 包 外 层 的 IP 
包头 特征 信息 进行 数据 转发 ,在 接收 端 进行 解密 。 接 收 端 接收 到 数据 包 后 ,去掉 数据 包 外 
部 的 IP 包头 ,然后 再 去 掉 内 层 的 GRE 封装 协议 ,获得 原始 数据 。 

简单 地 说 就 是 ,本 地 网 络 中 设备 将 企业 内 部 的 私有 数据 进行 “伪装 ”, 使 其 成 为 另外 一 
种 协议 的 数据 分 组 ,然后 传送 到 目的 地 。 目 的 地 接收 信息 的 网 络 设备 去 掉 数 据 的 “伪装 ”， 
露出 内 部 真正 要 接收 的 有 效 载荷 。 

此 外 ,发 送 协议 IPv4 被 作为 GRE 有 效 载荷 承载 的 传输 协议 时 ,协议 类 型 字段 必须 被 
设置 为 0x800。 当 一 个 隧道 终点 设备 , 拆 封 此 含有 IPv4 包 作 为 有 效 载荷 的 GRE 包 传输 
协议 时 ,IPv4 包头 中 的 目的 地 址 必须 用 来 转发 包 , 并 且 需 要 减少 有 效 载荷 包 的 TTL。 值 
得 注意 的 是 ,在 转发 这 样 一 个 包 时 ,如 果 有 效 载 荷包 中 目的 地 址 就 是 包 的 封装 器 (也 就 是 
隧道 另 一 端 ) ,就 会 出 现 回路 现象 ,在 此 情形 下 ,必须 丢弃 该 包 。 

GRE VPN 技术 下 的 网 络 安全 的 检查 过 程 ,与 目前 常规 的 IPv4 网 络 安全 检查 过 程 基 
本 相似 ,GRE 隧道 协议 下 的 路 由 , 仍 采用 IPv4 数据 包 中 原本 使 用 的 路 由 , 且 路 由 在 网 络 
上 过 滤 过 程 保持 不 变 。 在 包 过 滤 安 全 机 制 下 ,通过 在 接收 端 防火 墙 上 配置 检查 GRE BE 
道 协议 封装 的 数据 包 , 也 可 在 配置 GRE 隧道 终点 防火 墙 上 完成 过 滤 过 程 。 为 加 快 数据 
包 的 通信 过 程 ,在 一 些 安全 的 网 络 环境 下 ,可 以 在 防火 墙 上 终止 隧道 协议 。 

GRE 隧道 技术 的 应 用 范围 为 : 

(D 多 协议 本 地 网 中 数据 需要 通过 单一 协议 骨干 网 传输 。 
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© 扩大 包含 步 跳 数 受 限 协议 (如 IPX) 的 网 络 的 工作 范围 。 

© 将 一 些 不 能 连续 的 子 网 连接 起 来 .组建 VPN。 

其 中 以 第 一 种 应 用 为 主 。 

GRE 隧道 技术 的 基本 配置 ,包括 创建 虚拟 Tunnel 接口 .配置 Tunnel 接口 的 源 端 地 
址 ,配置 Tunnel 接口 的 目的 地 址 、 配 置 Tunnel 接口 的 网 络 地 址 。 常 见 的 配置 命令 有 : 

Router# 

Router# config terminal 

Router (config)# interface tunnell ! 创 建 虚拟 Tunnel 接口 

Router (config- if)# lip address 10.1.1.1 255.255.255.0 

Router (config- if)4 tunnel source fastEthernet1/0 


配置 隧道 的 源 接口 或 源 地 址 
Router 1 (config- if)# tunnel destination 2.2.2. ! 配 置 隧道 的 日 的 地 址 
Router (config- if)# tunnel key 1234567 ! 配 置 隧道 验证 密 钥 


Router (config- if)# exit 


【实验 原理 】 

GRE 协议 是 一 个 隧道 协议 ,使 用 IP 协议 号 47。GRE 通常 用 来 构建 站 点 到 站 点 的 
VPN 隧道 , 它 最 大 的 优点 是 可 以 对 多 种 协议 、 多 种 类 型 的 报 文 进行 封装 ,并 封装 在 隧道 
中 安全 传输 。 但 是 GRE 不 提供 对 数据 的 保护 (如 加 密 ), 它 只 提供 简单 的 隧道 验证 
功能 。 


【实验 步骤 】 

第 一 步 : 按照 如 图 1-3 所 示 拓 扑 ,连接 实验 中 的 网 络 设 备 ,注意 接口 上 地 址 规划 
信息 。 

第 二 步 : 配置 Internet 路 由 器 R3。 

R3# configure terminal 

R3(config)& interface fastEthernet 1/0 

R3 (config- if)# ip address 1.1.1.2 255.255.255.252 

F3 (config- if)4 exit 

R3(config)& interface fastEthemet 1/1 


R3(config- if)# exit 

第 三 步 : 配置 R1 5 R2 的 Internet 连通 性 。 
Ris configure terminal 
Rl(config)4 interface fastEthemet 1/0 

Rl (config- if)4 ip address 1.1.1.1 255.255.255.252 

Rl (config- if) exit 

Rl (config)# interface fastEthernet 1/1 

Rl (config- if)4 ip address 192.168.1.1 255.255.255.0 
Rl (config- if) exit 
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Rl (config)# ip route 0.0.0.0 0.0.0.0 1.1.1.2 


R2# configure terminal 

R2 (config)& interface fastEthemet f1/1 

R2 (config- if)# ip address 2.2.2.1 255.255.255.252 
R2 (config- if)# exit 

R2 (config) interface fastEthernet 1/0 

R2 (config- if)# ip address 192.168.2.1 255.255.255.0 
R2 (config- if)4 exit 

R2 (config)& ip route 0.0.0.0 0.0.0.0 2.2.2.2 

第 四 步 : 配置 Rl 的 GRE 隧道 。 


RI (config) interface tunnell 

RI (config- if)# ip address 10.1.1.1 255.255.255.0 
RI (config- if)# tunnel source fastEthernet1/0 

RI (config- if)# tunnel destination 2.2.2.1 

Rl (config- if)# tunnel key 1234567 

RI (config- if)# exit 

第 五 步 : E R1 上 启用 RIPv2 路 由 协议 。 


Rl (config)# router rip 

Rl(config- router)# version 2 
Rl(config- router) # no auto- summary 
R1 (config- router)# network 10.0.0.0 
R1 (config- router)# network 192.168.1.0 
Rl(config- router)# exit 


第 六 步 : 配置 R2 的 GRE 隧道 。 


F2 (config) interface tunnell 

R2(config- if)4 ip address 10.1.1.2 255.255.255.0 
R2 (config- if)4 tunnel source fastEthernet1/1 
R2(config- if)4 tunnel destination 1.1.1.1 

R2 (config- if)4 tunnel key 1234567 

R2 (config- if)# exit 

第 七 步 : 在 R2 上 启用 RIPv2 路 由 协议 。 


F2(config)# router rip 

R2 (config- router)# version 2 

R2 (config- router)4 no auto- summary 
R2 (config- router) # network 10.0.0.0 
R2 (config- router)4 network 192.168.2.0 
R2 (config- router)4 exit 
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! 配 置 隧道 的 源 接口 或 源 地 址 
! 配 置 隧道 的 日 的 地 址 
! 配 置 隧道 验证 密 钥 


IE GE 隧道 接口 启用 RIPv2 
! 在 内 部 接口 启用 RIPvV2 


! 配 置 隧道 的 源 接口 或 源 地 址 
! 配 置 隧道 的 日 的 地 址 
! 配 置 隧道 验证 密 钥 


UE GE 隧道 接口 启用 RIPv2 
! 在 内 部 接口 启用 RIPv2 
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第 八 步 : 配置 测试 计算 机 PCI 和 PC2。 


EC1 的 rp Ji E Jg 192.168.1.2 255.255.255.0, 网 关 为 192.168.1.1 
PC2 的 IP 地 址 为 192.168.2.2 255.255.255.0, 网 关 为 192.168.2.1 


第 九 步 : 验证 测试 1。 
在 R1 与 R2 上 验证 GRE 隧道 状态 及 路 由 表 信 息 , 分 别 通过 Tunnel 接口 学 习 到 对 端 
局 域 网 的 路 由 。 


Ris show interface Tunnel 1 


TumellisUP , line protocol is UP ! 隧 道 状态 为 UP 
Hardware is Tunnel 
Interface address is: 10.1.1.1/24 
MIU 1472 bytes, BW 9 Kbit 
Encapsulation protocol is Tunnel, loopback not set 
Keepalive interval is 0 sec , no set 
Carrier delay is 0 sec 
RXload is 1 ,Txload is 1 
Tunnel scurce 1.1.1.1 (FastEthernet 1/0), destination 2.2.2.1 
Tunnel protocol/transport GRE/IP, key Ox12d687, sequencing disabled 
Checksumming of packets disabled  Queueing strategy: WQ 
5 minutes input rate 0 bits/sec, 0 packets/sec 
5 minutes output rate 12 bits/sec, 0 packets/sec 
0 packets input, 0 bytes, 0 no buffer 
Received 0 broadcasts, 0 runts, 0 giants 
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort 
19 packets output, 988 bytes, 0 underruns 
0 output errors, 0 collisions, 0 interface resets 


Rl# show ip route 


Codes: C- connected, S- static,  R- RIP 
O- OSEF, IA- OSPF inter area 
N1- OSPF NSSA external type 1, N2- OSPF NSSA external type 2 
El- OSPF external type 1, E2- OSPF external type 2 
* — candidate default 


Gateway of last resort is 1.1.1.2 to network 0.0.0.0 

S*  0.0.0.0/0 [1/0] via 1.1.1.2 

€ 1.1.1.0/30 is directly connected, FastEthernet 1/0 
1.1.1.1/2 is local host. 

10.1.1.0/24 is directly connected, Tunnel 1 
10.1.1.1/2 is local host. 


Q000 0 


192.168.1.0/24 is directly connected, FastEthernet 1/1 
17 


mum 第 1 章 基于 路 由 器 VPN 安全 E 


c 
R 


192.168.1.1/32 is local host. 
192.168.2.0/24 [120/1] via 10.1.1.2, 00:00:29, Tunnel 1 


ROS show interface Tunnel 1 


Tunel 1 is UP , line protocol is UP ! 隧 道 状态 为 UP 
Hardware is Tunnel 
Interface address is: 10.1.1.2/24 
MIU 1472 bytes, BW 9 Koit 
Encapsulation protocol is Tunnel, loopback not set 
Keepalive interval is 0 sec , no set 
Carrier delay is 0 sec 
RXload is 1 ,Txload is 1 
Tunnel source 2.2.2.1 (FastEthernet 1/1), destination 1.1.1.1 
Tunnel protocol/transport GRE/IP, key Ox12d687, sequencing disabled 
Checksumming of packets disabled Qeueing strategy: WQ 
5 minutes input rate 31 bits/sec, 0 packets/sec 
5 minutes output rate 36 bits/sec, 0 packets/sec 
55 packets input, 3700 bytes, 0 no buffer 
Received 0 broadcasts, 0 runts, 0 giants 
0 input errors, 0 ŒC, 0 frame, 0 overrun, 0 abort 
58 packets output, 4080 bytes, 0 underruns 
0 output errors, 0 collisions, 0 interface resets 


R2 show ip route 


Codes: C- connected, S- static, R- RIP 
O- OSPF, IA- OSPF inter area 
N1- OSPF NSSA external type 1, N2- OSPF NSSA extemal type 2 
El- OSPF extemal type 1, E2- OSPF external type 2 
* — candidate default 


Gateway of last resort is 2.2.2.2 to network 0.0.0.0 

S*  0.0.0.0/0 [1/0] via 2.2.2.2 

.0/30 is directly connected, FastEthemet 1/1 
2.2.2.1/32 is local host. 

10.1.1.0/24 is directly connected, Tunnel 1 
10.1.1.2/32 is local host. 

192.168.1.0/24 [120/1] via 10.1.1.1, 00:00:20, Tunnel 1 
192.168.2.0/24 is directly connected, FastEthernet 1/0 
192.168.2.1/32 is local host. 


第 十 步 : 验证 测试 2。 
在 PC1 上 使 用 ping 命令 ping 对 端 计算 机 PC2 ,可 以 ping 通 , 如 图 1-4 所 示 。 


c OG AA G A 
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1.2 使 用 路 由 器 构建 GRE VPN 


WINDOWS system32 cmd.exe. 


图 1-4 验证 测试 


【注意 事项 】 
* GRE 隧道 两 端的 密 钥 要 匹配 。 


。 隧道 两 端的 源 和 目的 相互 对 应 , 即 RI 的 源 地 址 为 R2 的 目的 地 址 


为 R1 的 目的 地 址 。 
* 需要 在 Tunnel 接口 启用 路 由 ,而 非 连接 Internet 的 接口 。 


【参考 配置 】 


Rl# show ruming- config 


Building configuration... 
Current configuration : 764 bytes 
! 
hostname Rl 
! 
no service password- encryption 
! 
interface serial 1/2 
clock rate 64000 
! 
interface serial 1/3 
clock rate 64000 
! 
interface FastEthemet 1/0 
ip address 1.1.1.1 255.255.255.252 
duplex auto 
Speed auto 
l 
interface FastEthemet 1/1 
ip address 192.168.1.1 255.255.255.0 
duplex auto 
Speed auto 


R2 的 源 地 址 
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L| 
interface Tunnel 1 
ip address 10.1.1.1 255.255.255.0 
tunnel source FastEthernet 1/0 
tunnel destination 2.2.2.1 
tunnel key 1234567 
no keepalive 
! 
interface Null 0 
! 
! 
router rip 
no auto- summary 
version 2 
network 10.0.0.0 
network 192.168.1.0 
! 
ip route 0.0.0.0 0.0.0.0 1.1.1.2 
! 
line con 0 
line aux 0 
line vty 04 
login 


hostname R2 
! 
no service password- encryption 
! 
interface serial 1/2 
Clock rate 64000 
! 
interface serial 1/3 
clock rate 64000 
! 
interface FastEthernet 1/0 
ip address 192.168.2.1 255.255.255.0 
duplex auto 
Speed auto 
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interface FastEthernet 1/1 
ip address 2.2.2.1 255.255.255.252 
duplex auto 
Speed auto 

! 

interface Tunnel 1 
ip address 10.1.1.2 255.255.255.0 
tunnel source FastEthernet. 1/1 
tunnel destination 1.1.1.1 
tunnel key 1234567 
no keepalive 

! 

interface Null 0 

! 

router rip 
no auto- summary 
version 2 
network 10.0.0.0 
network 192.168.2.0 

! 

ip route 0.0.0.0 0.0.0.0 2.2.2.2 

1 

line œn 0 

line aux 0 

line vty 04 
login 
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interface FastEthemet 1/0 
ip address 1.1.1.2 255.255.255.252 
duplex auto 
Speed auto 
! 
interface FastEthernet 1/1 
ip address 2.2.2.2 255.255.255.252 
duplex auto 
Speed auto 
interface Null 0 
! 
line con 0 
line aux 0 
line vty 0 4 
login 
! 
[| 


End 


TES 使 用 路 由 器 构建 GRE over IPSec VPN 


【实验 名 称 】 

使 用 路 由 器 构建 GRE over IPSec VPN。 

【实验 目的 】 

学 习 配置 站 点 到 站 点 (Site-to-Site) 的 GRE over IPSec VPN ,加 深 对 GRE 与 IPSec 
的 理解 。 


【背景 描述 】 

北京 的 某 公 司 在 上 海 开 了 新 的 分 公司 ,分 公司 要 远程 访问 总 公司 的 各 种 内 部 网 络 资 
源 ,例如 : CRM 系统 .FTP 服务 器 等 。 公 司 担心 在 Internet 上 传输 公司 内 部 保密 数据 存 
在 安全 隐患 ,希望 通过 IPSec VPN 技术 实现 数据 在 公共 网 络 上 的 安全 传输 。 由 于 总 公司 
和 分 公司 之 间 需 要 共享 路 由 信息 ,所 以 还 要 使 用 GRE. 


【需求 分 析 】 
需求 : 解决 上 海 分 公司 和 北京 总 公司 之 间 , 通 过 Internet 公 网 进行 路 由 信息 共享 和 
保密 信息 安全 传输 的 问题 。 


分 析 : IPSec VPN 技术 通过 隧道 技术 .加 解密 技术 、 密 钥 管 理 技术 和 认证 技术 有 效 地 

保证 了 数据 在 Internet 网 络 传输 的 安全 性 ,是 目前 最 安全 、 使 用 最 广泛 的 VPN 技术 。 由 

T GRE 技术 支持 对 网 络 中 组 播 和 广播 数据 的 安全 封装 ,可 用 于 封装 路 由 协议 报 文 。 因 

此 可 以 通过 建立 GRE over IPSec VPN 的 加 密 隧 道 ,实现 分 公司 和 总 公司 之 间 的 路 由 信 
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息 共享 和 信息 安全 传输 双重 功能 。 


【实验 拓扑 】 

如 图 1-5 所 示 网 络 拓扑 ,是 上 海 设立 新 的 分 公司 要 远程 访问 总 公司 的 各 种 网 络 资源 ， 
实现 分 公司 和 总 公司 之 间 信 息 共享 网 络 场景 。 为 解决 上 海 分 公司 和 北京 总 公司 之 间 , 通 
过 Internet 进行 数据 传输 的 安全 问题 ,公司 希望 通过 GRE VPN 技术 ,使 用 路 由 器 构建 
GRE over IPSec VPN 功能 ,有 效 保证 保密 数据 在 Internet 网 络 上 安全 传输 。 

总 公司 E c" 分 公司 


2. R3 EN 
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图 1-5 路 由 器 构建 GRE over IPSec VPN 网 络 拓扑 


【实验 设备 】 
路 由 器 : 3 台 ; PC: 2 台 。 
【实验 原理 】 


GRE 协议 是 一 个 隧道 封装 协议 ,使 用 IP 协议 号 47。GRE 通常 用 来 构建 站 点 到 站 点 
的 VPN 隧道 , 它 最 大 的 优点 是 可 以 对 多 种 协议 、 多 种 类 型 的 报 文 进行 封装 ,并 在 隧道 中 
传输 。 但 是 GRE 不 提供 对 数据 的 保护 (例如 ,加 密 ), 它 只 提供 简单 的 隧道 验证 功能 。 

IPSec 的 主要 作用 是 为 IP 数据 通信 提供 安全 服务 。IPSec 不 是 一 个 单独 协议 , 它 是 
一 套 完 整 的 体系 框架 ,包括 AH、ESP 和 IKE 三 个 协议 。IPSec 使 用 了 多 种 加 密 算法 、 散 
列 算法 、 密 钥 交换 方法 等 为 TP 数据 流 提 供 安 全 性 , 它 可 以 提供 数据 的 机 密 性 、 数 据 的 完整 
性 ,数据 源 认 证 和 反 重 放 等 安全 服务 。 

由 于 IPSec 不 能 够 对 网 络 中 组 播报 文 进行 封装 ,所 以 常用 的 路 由 协议 报 文 无 法 在 
IPSec 协议 封装 隧道 中 传输 。 这 时 可 以 结合 使 用 GRE 与 IPSec 两 种 技术 ,利用 GRE 技 
术 对 用 户 数据 和 路 由 协议 报 文 进行 隧道 封装 ,然后 使 用 IPSec 技术 来 保护 GRE 隧道 的 安 
全 , 即 构成 了 GRE over IPSec VPN 技术 。 


【实验 步骤 】 

第 一 步 : 按 如 图 1-5 所 示 拓 扑 , 连 接 实验 中 的 网 络 设备 ,注意 接口 上 地 址 信息 。 
第 二 步 : 配置 Internet 路 由 器 R3, 

R3 configure terminal 

R3 (config) interface fastEthernet 1/0 


R3 (config- if)# ip address 1.1.1.2 255.255.255.252 
R3 (config- if)# exit 
R3(config)& interface fastEthernet 1/1 
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R3(config- if)# ip address 2.2.2.2 255.255.255.252 
FG(config- if) exit 
第 三 步 : 配置 R1 5 R2 的 Internet 连通 性 。 


RH configure terminal 

RI (config) interface fastEthemet 1/0 

RI (config- if)# ip address 1.1.1.1 255.255.255.252 
RI (config- if)# exit 

RI (config) interface fastEthernet 1/1 

RI (config- if)# ip address 192.168.1.1 255.255.255.0 
RI (config- if)$ exit 

RI (config) # ip route 0.0.0.0 0.0.0.0 1.1.1.2 


FOR configure terminal 

R2 (config) interface fastEthernet f1/1 

R2 (config- if)# ip address 2.2.2.1 255.255.255.252 
R2 (config- if) exit 

R2 (config) interface fastEthernet 1/0 

R2 (config- if)# ip address 192.169.2.1 255.255.255.0 
R2 (config- if) exit 

R2 (config) ip route 0.0.0.0 0.0.0.0 2.2.2.2 


第 四 步 : 配置 R1 GRE 隧道 。 


RL(config)# interface tunnell 

RI (config- if)# ip address 10.1.1.1 255.255.255.0 
RI (config- if)# tunnel source fastEthernet1/0 
RI (config- if)# tunnel destination 2.2.2.1 

Rl (config- if) tunnel key 1234567 

RI (config- if)# exit 


BEH: ERI 上 启用 RIPv2 路 由 协议 。 


Rl (config)# router rip 

Rl(config- router)# version 2 

Rl (config- router) # no auto- summary 
Rl(config- router) # network 10.0.0.0 
Rl(config- router) # network 192.168.1.0 
RI (config- router)4 exit 


第 六 步 : 配置 R2 GRE 隧道 。 


R2 (config)# interface tunnell 

R2 (config- if)# ip address 10.1.1.2 255.255.255.0 
R2 (config- if)# tunnel source fastEthernet1/1 
R2 (config- if) tunnel destination 1.1.1.1 
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配置 隧道 的 源 接口 或 源 地 址 
!Ré CBE AY EL Ho 
! 配 置 隧道 验证 密 钥 


! 在 GE 隧道 接口 启用 RIPV2 
! 在 内 部 接口 启用 RIPv2 


! 配 置 隘 道 的 源 接口 或 源 地 址 
! 配 置 隧道 的 日 的 地 址 
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R2 (config- if)# tunnel key 1234567 ! 配 置 隧道 验证 密 钥 
R2 (config- if)# exit 
BEF: 在 R2 上 启用 RIPv2 路 由 协议 。 


R2(config)# router rip 
R2 (config- router)4 version 2 

R2 (config- router)# no auto- summary 

F2 (config- router)# network 10.0.0.0 ! 在 GE 隧道 接口 启用 RTPv2 
F2 (config- router)# network 192.168.2.0 ! 在 内 部 接口 启用 RIPv2 

E? (config- router)# exit 


第 八 步 : 配置 R1 的 IKE 参数 。 


RI (config) crypto isakmp policy 1 ! 创 建 HE 策略 

RI (isakmp- policy) # encryption 3des ! 使 用 ces 加 密 算法 

RI (isakmp- policy)# authentication pre- share ! 使 用 预 共 享 密 钥 验证 方式 
RI (isakmp- policy)# hash sha ! 使 用 sm- 155 5] E 3s 

RI (isakmp- policy) # group 2 ! 使 用 mud 2 

RI (isakmp- policy)# exit 

RI (config)4 crypto isakmp key 0 1234567 address 2.2.2.1 配置 预 共享 密 钥 


第 九 步 : 配置 RI 的 IPSec 参数 。 

RI (config)# crypto ipsec transform- set 3des sha esp- 3des esp- sha- hmac 

! 配 置 IPsec 转换 集 , 使 用 ESP 协议 ,30ES 算 法 和 sea- 1 RUDI SUE 

Rl (cfg- crypto- trans)4 mode transport ! 配 置 IPsec 工作 模式 为 传输 模式 


Rl (cfg- crypto- trans)# exit 
Rl(config)4 access- list 100 permit 47 host 1.1.1.1 host 2.2.2.1 
! 配 置 加 密 访问 控制 列表 ,使 用 GE 协议 (47D 作 为 触发 流量 


RI (config)# crypto map to 12 1 ipsec- isakp ! 配 置 IPsec 加 密 映 射 

RI (config- crypto- map)# match address 100 号 | 用 加 密 访 问 控制 列表 
RI (config- crypto- map)# set transform- set 3des_sha 号 | 用 IPsec 转换 集 
RL(config- crypto- map)4 set peer 2.2.2.1 配置 IPsec 对 等 体 地 址 


Rl (config- crypto- map)4 exit 


RL (config) # interface fastEthernet1/0 

RI (config- if)# crypto map to r2 "fff. IPsec 加 密 映 射 应 用 到 接口 
RI (config- if)# exit 

第 十 步 : 配置 R2 的 IKE 2X. 


R2 (config)# crypto isakmp policy 1 
R2 (isakmp- policy) # encryption 3des 
R2 (isakmp- policy)4 authentication pre- share 
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R2 (isakmp- policy)4 hash sha 

R2 (isakmp- policy)4 group 2 

R2 (isakmp- policy)# exit 

R2 (config)4 crypto isakmp key 0 1234567 address 1.1.1.1 
第 十 一 步 : 配置 R2 的 IPSec 参数 。 


R2 (config) # crypto ipsec transform- set 3des sha esp- 3des esp- sha- hmac 


R2 (cfg- crypto- trans)4 mode transport 配置 IPsec 工作 模式 为 传输 模式 


R2 (cfg- crypto- trans)4 exit 


R2 (config)# access- list 100 permit 47 host 2.2.2.1 host 1.1.1.1 
! 配 置 加 密 访问 控制 列表 ,使 用 GE 协议 (47D 作 为 触发 流量 


R2 (config)# crypto map to rl 1 ipsec- isakp 

R2 (config- crypto- map)# match address 100 

R2 (config- crypto- map)# set transform- set 3des sha 
R2 (config- crypto- map)# set peer 1.1.1.1 

R2 (config- crypto- map)4 exit 

R2 (config)# interface fastEthemetl/0 

R2 (config- if)4 crypto map to rl 

R2 (config- if)# exit 


第 十 二 步 : 配置 PCl 和 PC2 


PC1 的 PH hE Jg 192.168.1.2 255.255.255.0, 网 关 为 192.168.1.1 
PC2 的 IP 地 址 为 192.168.2.2 255.255.255.0, |] X: Jy 192.168.2.1 


第 十 三 步 : 验证 测试 ， 


在 PC1 上 使 用 测试 命令 ping PC2 ,可 以 ping 通 对 端 设备 ,如 图 1-6 所 示 。 测 试 成 功 ， 


表示 构建 GRE over IPSec VPN 隧道 建立 成 功 。 


ings\hdninistrator>ping 192.168 


2 with 


Reply fron 1 


Ping stat 


[C:Documents 


图 1-6 验证 测试 
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第 十 四 步 : 验证 测试 。 
在 R1 与 R2 上 验证 GRE 隧道 状态 及 路 由 表 信 息 ,分 别 通过 Tunnel 接口 学 习 到 对 端 
局 域 网 的 路 由 。 


Rl# show interface Tunnel 1 
TumellisUP , line protocol is UP ! 隧 道 状态 为 吧 
Hardware is Tunnel 
Interface address is: 10.1.1.1/24 
MIU 1472 bytes, BW 9 Kbit 
Encapsulation protocol is Tunnel, loopback not set 
Keepalive interval is 0 sec , no set 
Carrier delay is 0 sec 
RXload is 1 ,Txload is 1 
Tunnel source 1.1.1.1 (FastEthernet 1/0), destination 2.2.2.1 
Tunnel protocol/transport GRE/IP, key Ox12d687, sequencing disabled 
Checksumming of packets disabled  Queueing strategy: WQ 
5 minutes input rate 13 bits/sec, 0 packets/sec 
5 minutes output rate 13 bits/sec, 0 packets/sec 
49 packets input, 2580 bytes, 0 no buffer 
Received 0 broadcasts, 0 runts, 0 giants 
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort 
70 packets output, 3756 bytes, 0 underruns 
0 output errors, 0 collisions, 0 interface resets 


Rl# show ip route 


Codes: C- connected, S- static, R- RIP 
O- OSEF, IA- OSEF inter area 
N1- OSPF NSSA external type 1, N2- OSPF NSSA external type 2 
El- OSPF external type 1, E2- OSPF extemal type 2 
* — candidate default 


Gateway of last resort is 1.1.1.2 to network 0.0.0.0 

S*  0.0.0.0/0 [1/0] via 1.1.1.2 

1.1.1.0/30 is directly connected, FastEthernet 1/0 
1.1.1.1/2 is local host. 

10.1.1.0/24 is directly connected, Tunnel 1 
10.1.1.1/22 is local host. 

192.168.1.0/24 is directly connected, FastEthernet 1/1 
192.168.1.1/22 is local host. 

192.168.2.0/24 [120/1] via 10.1.1.2, 00:00:16, Tunnel 1 


A A NN 


ROS show interface tunnel 1 
Tmel 1 is UP , line protocol is UP ! 隧 道 状 态 为 up 
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Hardware is Tunnel 

Interface address is: 10.1.1.2/24 
MIU 1472 bytes, BW 9 Kbit 
Encapsulation protocol is Tunnel, loopback not set 
Keepalive interval is 0 sec , no set 
Carrier delay is 0 sec 
RXload is 1 ,Txloed is 1 


Tunnel protocol/transport GRE/IP, key 0x123687, sequencing disabled 
Checksumming of packets disabled Queueing strategy: WFQ 
5 minutes input rate 11 bits/sec, 0 packets/sec 
5 minutes output rate 11 bits/sec, 0 packets/sec 
85 packets input, 445? bytes, 0 no buffer 
Received 0 broadcasts, 0 runts, 0 giants 
0 input errors, 0 CC, 0 frame, 0 overrun, 0 abort 
65 packets output, 3496 bytes, 0 underruns 
0 output errors, 0 collisions, 0 interface resets 


R2# show ip route 


Codes: C- connected, S- static, R- RIP 
O- OSPF, IA- OSPF inter area 
N1- OSPF NSSA external type 1, N2- OSPF NSSA extemal type 2 
El- OSPF external type 1l, E2- OSPF external type 2 
* — candidate default 


Gateway of last resort is 2.2.2.2 to network 0.0.0.0 

S*  0.0.0.0/0 [1/0] via 2.2.2.2 

c 2.2.2.0/30 is directly connected, FastEthernet 1/1 
2.2.2.1/2 is local host. 

10.1.1.0/24 is directly connected, Tunnel 1 
10.1.1.2/22 is local host. 

192.168.1.0/24 [120/1] via 10.1.1.1, 00:00:15, Tunnel 1 
192.168.2.0/24 is directly connected, FastEthernet 1/0 
192.168.2.1/22 is local host. 


第 十 五 步 : 验证 测试 。 
CD 查看 R1 的 IKE SA. 可 以 看 到 IKE SA 协商 成 功 , 状 态 为 QM_IDLE。 


AAPO OQ 


Ri show crypto isakmp sa 
destination Source state conn- id lifetime (second) 
2.2.2.1 1.1.1.1 CM IDIE 33 84170 


e3e0dddad/d4dloe | 0e6cc92784e23f9d 


(2) 查看 Rl 的 IPSec SA ,可 以 看 到 两 个 IPSec SA 协商 成 功 , 一 个 用 于 入 站 报 文 ,一 
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个 用 于 出 站 报 文 。 


Rl# show crypto ipsec sa 


item type:static, segno:l, id- 32 

local ident (addr/mask/prot/port): (1.1.1.1/0.0.0.0/47/0) 
remote ident (adir/mask/prot/port): (2.2.2.1/0.0.0.0/47/0) 
PERMIT 

3 pkts encaps: 81, 4 pkts encrypt: 81, 4 pkts digest 81 

3 pkts decaps: 61, 4 pkts decrypt: 6l, #pkts verify 6l 


# send errors 0, # recv errors 0 


Irnbound esp sas: 
Spi:0x6e729d63 (1853005155) 
transform: esp- 3des esp- sha- hmc 
in use settings= {Transport, } ! 传 输 模 式 
crypto map to r21 
sa timing: remaining key lifetime (k/sec): (4606986/1315) 
IV size: 8 bytes 
Replay detection support:Y 


Outbound esp sas: 
Spi:0x2eHo46l (49001569) 
transform: esp- 3des esp- sha- hmc 
in use settings- (Transport, } ! 传 输 模 式 
crypto map to r21 
sa timing: remaining key lifetime (k/sec): (4606986/1315) 
IV size: 8 bytes 
Replay detection support:Y 


(3) 查看 R2 的 IKE SA, 可 以 看 到 IKE SA 协商 成 功 , 状 态 为 QM. IDLE, 


R2# show crypto jsalmp sa 
destination Source state cnn- id lifetime (second) 
2.2.2.1 1.1.1.1 QM IE 33 83798 


e3e0dddad/d4dloe | 0e6cc92784e23f9à 


(4) 查看 R2 的 IPSec SA, 可 以 看 到 两 个 IPSec SA 协商 成 功 , 一 个 用 于 入 站 报 文 , 一 
个 用 于 出 站 报 文 。 


R2# show crypto ipsec sa 
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Interface: FastFthernet 1/1 
Crypto map tag:to rl, local addr 2.2.2.1 


item type:static, segno:l, id- 32 

local ident (adir/mask/prot/port): (2.2.2.1/0.0.0.0/47/0) 
remote ident (addr/mask/prot/port): (1.1.1.1/0.0.0.0/47/0) 
PERMIT 

3t pkts encaps: 75, 4 pkts encrypt: 75, 4 pkts digest 75 
#pkts decaps: 95, 4 pkts decrypt: 95, #pkts verify 95 


# send errors 0, # recv errors 0 


Inbound esp sas: 
Spi :0x2eHi»461 (49001569) 
transform: esp- 3des esp- sha- hmac 
in use settings- (Transport, ) ! 传 输 模 式 
crypto map to r11 
Sa timing: remaining key lifetime (k/sec): (4607984/896) 
IV size: 8 bytes 
Replay detection support:Y 


Outbound esp sas: 
Spi:0x6e729363 (1853005155) 
transform: esp- 3des esp- sha- hmac 
in use settings- (Transport, } ! 传 输 模 式 
crypto map to rl11 
Sa timing: remaining key lifetime (k/sec): (4607984/896) 
IV size: 8 bytes 
Replay detection support:Y 
通过 以 上 状态 信息 可 以 看 出 ,R1 与 R2 成 功 协商 了 一 个 IKE SA 和 两 个 IPSec SA 
(每 个 方向 各 一 个 )。 


【注意 事项 】 

* GRE 隧道 两 端的 密 钥 要 一 致 。 

。 隧道 两 端的 源 和 目的 相互 对 应 , 即 RT 的 源 地 址 为 R2 的 目的 地 址 ,R2 的 源 地 址 
为 R1 的 目的 地 址 。 

* 需要 在 Tunnel 接口 启用 路 由 ,而 非 连接 Internet 的 接口 。 

。 确保 IPSec 隧道 两 端 之 间 的 连通 性 正常 。 

。 双方 的 IKE 策略 和 IPSec 转换 集 要 一 致 , 且 双 方 的 预 共享 密 钥 要 一 致 。 

。 当 配 置 了 多 个 IKE 策略 和 IPSec 转换 集 时 ,请 确保 双方 能 够 协商 出 一 个 相同 的 策 
略 和 转换 集 。 

。 双方 的 加 密 访问 列表 要 互 为 镜像 。 
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【参考 配置 】 


Rl# show ruming- config 


Building configuration. 

Current configuration : 1268 bytes 

! 

hostname Rl 

! 

acoess- list 100 permit. 47 host 1.1.1.1 host 2.2.2.1 

I 

no service password- encryption 

! 

crypto isakmp policy 1 
encryption 3des 
authentication pre- share 
hash sha 
group 2 

! 

crypto isakmp key 7 076£517c41477152 address 2.2.2.1 

crypto ipsec transform- set 3des sha esp- 3des esp- sha- hmac 
mode transport 

crypto map to r2 1 ipsec- isakp 
set peer 2.2.2.1 
set transfome set 3des sha 
match address 100 

! 

interface serial 1/2 
Clock rate 64000 

! 

interface serial 1/3 
clock rate 64000 

! 

interface FastEthernet 1/0 

ip address 1.1.1.1 255.255.255.252 
crypto map to r2 
duplex auto 
Speed auto 

! 

interface FastEthernet 1/1 

ip address 192.168.1.1 255.255.255.0 
duplex auto 
Speed auto 
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interface Tunnel 1 
no ip route- cache 
no ip route- cache policy 
ip address 10.1.1.1 255.255.255.0 
tunnel source FastEthernet 1/0 
tunnel destination 2.2.2.1 
tunnel key 1234567 
no keepalive 
! 
interface Null 0 
! 
router rip 
no auto- summary 
version 2 
network 10.0.0.0 
network 192.168.1.0 
! 
ip route 0.0.0.0 0.0.0.0 1.1.1.2 
! 
line con 0 
line aux 0 
line vty 0 4 
login 


hostname R2 
! 


access- list 100 permit 47 host 2.2.2.1 host 1.1.1.1 


1 
crypto isakmp key 7 076£517c41477152 address 1.1.1.1 
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Crypto ipsec transform- set 3des sha esp- 3des esp- sha- hmac 
mæ transport 

crypto map to rl 1 ipsec- isakp 
set peer 1.1.1.1 
set transform- set 3des sha 
match address 100 

! 

interface serial 1/2 
clock rate 64000 

! 

interface serial 1/3 
clock rate 64000 

! 

interface FastEthernet 1/0 

ip address 192.168.2.1 255.255.255.0 
duplex auto 
speed auto 

! 

interface FastEthemet 1/1 

ip address 2.1 255.255.255.252 
crypto map to rl 
duplex auto 
speed auto 


interface Tunnel 1 
no ip route- cache 
no ip route- cache policy 
ip address 10.1.1.2 255.255.255.0 
tunnel source FastEthernet 1/1 
tunnel destination 1.1.1.1 
tunnel key 1234567 
no keepalive 
! 
interface Null 0 
! 
router rip 
no auto- summary 
version 2 
network 10.0.0.0 
network 192.168.2.0 
! 
ip route 0.0.0.0 0.0.0.0 2.2.2.2 
$ 


line con 0 
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Current configuration : 489 bytes 
hostname R3 
I 
no service password- encryption 
! 
interface serial 1/2 
clock rate 64000 
! 
interface serial 1/3 
clock rate 64000 
1 
interface FastEthernet 1/0 
ip address 1.1.1.2 255.255.255.252 
duplex auto 
speed auto 
! 
interface FastEthernet 1/1 
ip address 2.2.2.2 255.255.255.252 
duplex auto 
speed auto 
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231 ”构建 远程 访问 IPSec VPN( 用 户口 令 ) 


【实验 名 称 】 
构建 远程 访问 IPSec VPN( 用 户口 令 )。 


【实验 目的 】 
学 习 配 置 远 程 访问 IPSec VPN 隧道 ,熟悉 远程 接 入 方式 下 的 VPN 隧道 建立 过 程 。 


【背景 描述 】 

某 员工 正在 外 地 出 差 , 由 于 需要 查找 资料 ,需要 访问 公司 内 部 的 服务 器 资源 ,而 这 些 
服务 器 资源 因 安全 性 考虑 ,并 不 直接 在 Internet 公 网 上 开放 。 因 此 该 员工 必须 通过 先 和 
公司 建立 VPN 隧道 ,才能 获得 访问 公司 内 部 资源 的 权力 ,实现 公司 保密 数据 在 Internet 
上 安全 通信 。 

【需求 分 析 】 

需求 : 解决 出 差 员工 和 公司 之 间 通 过 Internet 进行 数据 传输 的 安全 问题 。 

分 析 : IPSec VPN 技术 通过 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技术 、 认 证 技术 等 有 效 
地 保证 了 数据 在 Internet 中 传输 的 安全 性 ,是 目前 最 安全 、 使 用 最 广泛 的 VPN 技术 。 可 
以 通过 建立 远程 访问 的 IPSec VPN 加 密 隧 道 ,实现 出 差 员工 和 公司 网 络 之 间 安 全 的 数据 
传输 。 

【实验 拓扑 】 

如 图 2-1 所 示 的 网 络 拓 扑 , 是 某 公 司 员工 在 外 地 出 差 , 需 要 访问 公司 内 部 的 服务 器 资 
源 ,通过 Internet 网 访问 公司 内 网 的 工作 场景 。 由 于 通过 Internet 数据 传输 的 安全 问题 ， 
公司 服务 器 资源 因 安 全 性 考虑 不 直接 在 公 网 上 开放 。 外 地 用 户 远程 访问 公司 内 网 中 的 各 


Router 
服务 器 VPN 网 关 远程 用 户 


图 2-1 构建 远程 访问 IPSec VPN 用 户口 令 网 络 拓扑 
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种 网 络 资源 ,在 Internet. 上 传输 数据 ,公司 希望 建立 IPSec VPN 加 密 隧 道 ,构建 远程 访问 
IPSec VPN 用 户口 令 , 员 工 通过 公司 提供 的 用 户口 令 , 通 过 IPSec VPN 隧道 获得 访问 公 
司 内 部 资源 ,实现 和 公司 网 络 服务 器 之 间 安 全 的 数据 传输 。 


【实验 设备 】 
RG-WALL VPN 网 关 : 1 台 ;RG-SRA 安全 远程 接 入 系统 软件 : 1 套 ; 路 由 器 : 1 fs 
PC: 2 台 (1 台 作为 公司 内 部 服务 器 ,1 台 作 为 远程 接 入 用 户 并 安装 SRA 软件 ) 。 


【预备 知识 

VPN 隧道 技术 

目前 VPN 主要 采用 四 项 技术 来 保证 VPN 通信 安全 ,这 四 项 技术 分 别 是 隧道 技术 、 
加 解密 技术 、 密 钥 管理 技术 .使 用 者 与 设备 身份 认证 技术 。 

VPN 的 隧道 指 的 是 利用 一 种 网 络 协议 来 传输 另 一 种 网 络 协议 的 通信 过 程 , 它 主要 利 
用 网 络 隧道 协议 来 实现 这 种 功能 。 网 络 隧道 技术 涉及 了 三 种 网 络 协议 , 即 网 络 隧道 协议 、 
隧道 协议 下 面 的 承载 协议 和 隧道 协议 所 承载 的 被 承载 协议 。 

网 络 隧道 是 指 在 公用 网 建立 一 条 数据 通道 (隧道 ), 让 数据 包 通 过 这 条 隧道 传输 。 隧 
道 技 术 是 一 种 通过 公共 网 络 的 基础 设施 ,在 专用 网 络 或 专用 设备 之 间 ,实现 加 密 数据 通信 
的 技术 ,隧道 中 的 通信 内 容 可 以 是 任何 通信 协议 的 数据 包 。 隧 道 协议 将 这 些 协 议 的 数据 
包 重 新 封装 在 新 的 包 中 发 送 , 新 的 包头 提供 了 路 由 信息 ,从 而 使 封装 的 数据 能 够 通过 公共 
网 络 传递 ,传递 时 所 经 过 的 逻辑 路 径 称 为 隧道 。 当 数据 包 到 达 通 信 终 点 后 ,将 被 拆 封 并 转 
发 到 最 终 目的 地 。 隧 道 技术 是 指 包括 数据 封装 ,传输 和 数据 拆 封 在 内 的 全 过 程 。 

VPN 隧道 所 使 用 公共 网 络 可 以 是 任何 类 型 通信 和 网络 ,可 以 是 Internet, 也 可 以 是 企 
业内 部 网 。 为 创建 隧道 VPN 客户 机 和 服务 器 必须 使 用 相同 隧道 协议 ,常用 隧道 协议 包 
括 : 点 对 点 隧道 协议 PPTP ,第 二 层 隧道 协议 L2TP 和 第 三 层 隧道 模式 IPSec, 

按照 开放 系统 互联 OSI 参考 模型 划分 ,隧道 技术 可 以 分 为 以 第 二 层 隧 道 协议 为 基础 
技术 和 以 第 三 层 隧道 协议 为 基础 技术 。 第 二 层 隧 道 协 议 对 应 OSI 模型 中 数据 链 路 层 ,使 
用 帧 作为 数据 传输 单位 ,PPTP 和 L2TP 协议 属于 第 二 层 隧道 协议 ,都 是 将 数据 封装 在 点 
对 点 协议 (PPP) 的 帧 中 通过 Internet 发 送 。 第 三 层 隧道 协议 对 应 OSI 模型 中 的 网 络 层 ， 
使 用 包 作 为 数据 传输 单位 。IPSec 协议 属于 第 三 层 隧 道 协议 ,是 将 数据 包 封 装 在 附加 了 
IP 包头 的 新 数据 包 中 通过 IP 网 络 传送 。 

第 二 层 隧 道 和 第 三 层 隧道 的 本 质 区 别 在 于 : 用 户 的 数据 包 是 被 封装 在 哪 一 层 的 数 
据 包 隧道 里 传输 的 。 第 二 层 隧道 协议 和 第 三 层 隧道 协议 分 别 使 用 ,承担 各 自 所 在 层 的 
安全 功能 。 合 理 地 运用 这 两 层 隧道 协议 ,将 为 网 络 提供 更 好 的 安全 性 。 例 如 ,L2TP 与 
IPSec 协议 的 配合 使 用 ,可 以 分 别 形成 L2TP VPN, IPSec VPN 网 络 ,也 可 混合 使 用 
L2TP 和 IPSec 协议 ,形成 性 能 更 强大 的 L2TP VPN 网 络 , 且 这 一 VPN 网 络 形式 是 目 
前 性 能 最 好 .应 用 最 广 的 一 种 安全 虚拟 网 ,能 提供 更 加 安全 的 数据 通信 ,解决 了 用 户 的 
后 顾 之 忧 。 

点 对 点 隧道 协议 (Pointrto-Point Tunneling Protocol. PPTP) 将 使 用 点 对 点 协议 
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(Point-to-Point Protocol,PPP) 的 封装 TP 数据 包 , 通 过 TCP/IP 网 络 进行 传输 。PPTP 可 
以 对 IP、IPX 或 NetBEUI 数据 包 进 行 加 密 传递 ,通过 PPTP 控制 连接 来 创建 .维护 和 终 
止 一 条 隧道 ,并 使 用 通用 路 由 封装 对 PPP 数据 帧 进行 封装 。 封 装 前 ,PPP 数据 帧 的 有 效 
载荷 (有 效 传输 数据 ) 首 先 必须 经 过 加 密 、 压 缩 或 是 两 者 的 混合 处 理 。 

第 二 层 隧道 协议 (Layer Two Tunneling Protocol,L2TP) 是 PPTP 和 第 二 层 转发 技 
术 (Layer Two Forward,L2F) 的 结合 。 第 二 层 转 发 技术 L2F 是 Cisco 公司 提出 的 隧道 技 
术 , 为 了 避免 PPTP 和 L2F 两 种 互 不 兼容 的 隧道 技术 ,在 市 场 上 彼此 竞争 给 用 户 带 来 不 
便 ,Internet 工程 任务 委员 会 IETF 要 求 将 两 种 技术 结合 在 单一 隧道 协议 中 ,并 在 该 协议 
中 综合 PPTP 和 L2F 两 者 优点 ,由 此 产生 了 L2TP。L2TP 协议 将 PPP 数据 帧 封装 后 ,可 
通过 TCP/IP,X. 25、 帧 中 继 或 ATM 等 网 络 进行 传送 ,L2TP 可 以 对 IP、IPX 或 NetBEUI 
数据 进行 加 密 传递 。 目 前 ,IETF 组 织 仅 定义 了 基于 TCP/IP 网 络 的 L2TP。 

为 了 实现 在 专用 或 公共 IP 网 络 上 的 安全 传输 数据 ,安全 IP 隧道 模式 IPSec 协议 使 
用 安全 方式 封装 和 加 密 整 个 IP 包 。 它 首先 对 IP 数据 包 进 行 加 密 , 然 后 将 密 文 数 据 包 再 
次 封装 在 明文 IP 包 内 ,通过 网 络 发 送 到 接收 端的 VPN 设备 。VPN 设备 对 收 到 的 数据 包 
进行 处 理 , 再 去 除 明 文 IP 包头 ,对 内 容 进 行 解密 之 后 ,获得 原始 的 TP 数据 包 , 再 根据 其 路 
由 信息 把 数据 转发 到 目标 网 络 的 接收 计算 机 。 

在 这 三 种 隧道 协议 中 ,点 对 点 隧道 协议 PPTP 和 第 二 层 隧道 协议 L2TP 的 优点 是 : 
对 使 用 微软 公司 操作 系统 的 用 户 来 说 很 方便 ,因为 微软 公司 已 把 它们 作为 路 由 软件 的 一 
部 分 ;缺点 是 PPTP 和 L2TP 将 不 安全 的 IP 数据 包 封 装 在 安全 的 IP 数据 包 内 。PPTP 
fü L2TP 适用 于 远程 访问 虚拟 专用 网 。 安 全 IP 隧道 模式 IPSec 的 优点 是 它 定义 了 一 套 
用 于 认证 ,保护 私密 和 数据 完整 性 的 标准 协议 ,缺点 是 微软 公司 对 IPSec 的 支持 不 够 。 
IPSec 适用 于 可 信 的 局 域 网 之 间 的 虚拟 专用 网 , 即 企业 内 部 网 VPN 应 用 。 


【实验 原理 】 

IPSec 协议 的 主要 作用 是 为 IP 数据 通信 提供 安全 服务 。IPSec 不 是 一 个 单独 协议 ， 
它 是 一 套 完整 的 体系 框架 ,包括 AH、ESP 和 IKE 三 个 协议 。IPSec 使 用 了 多 种 加 密 算 
法 . 散 列 算法 、 密 钥 交 换 方法 等 为 TP 数据 流 提 供 安全 性 , 它 可 以 提供 数据 的 机 密 性 数据 
的 完整 性 、 数 据 源 认证 和 反 重 放 等 安全 服务 。 

使 用 IPSec 可 以 构建 两 种 不 同 接 入 方式 的 VPN, 即 远程 访问 VPN 和 站 点 到 站 点 
VPN ,本 实验 中 使 用 IPSec 来 构建 远程 访问 VPN。 

远程 用 户 PC 与 公司 VPN 网 关 通 过 IKE 自动 协商 建立 起 远程 访问 IPSec VPN 加 密 
隧道 ,使 得 远程 用 户 PC 能 安全 地 访问 到 VPN 网 关 所 保护 的 内 部 服务 器 。 

远程 用 户 PC 在 和 VPN 网 关 建 立 VPN 隧道 前 ,需要 先 获得 VPN 网 关 的 身份 验证 许 
可 。 该 实验 所 采用 的 用 户 身份 验证 为 口令 方式 。 

远程 用 户 PC 在 通过 VPN 网 关 的 身份 验证 后 ,VPN 网 关 会 自动 将 VPN 隧道 建立 
( 即 IKE 协商 ) 所 需要 的 配置 下 发 给 远程 用 户 PC, 然 后 远程 用 户 PC 5 VPN BIZ [RI FI 
动 开始 IKE 协商 ,协商 成 功 后 VPN 隧道 即 建立 成 功 。 整 个 过 程 系 统 自动 完成 ,无 须 人 为 
干预 ,是 免 配 置 的 典型 方式 。 
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【实验 步骤 】 

第 一 步 : 准备 好 PC 和 服务 器 。 

在 远程 用 户 PC 上 安装 SRA 远程 接 人 软件 ,安装 完成 后 可 能 需要 重新 启动 PC。 

在 服务 器 PC 上 安装 VPN 管理 软件 。 

具体 的 安装 过 程 不 在 这 里 进行 详 述 ,可 以 查看 VPN 产品 的 随机 说 品 书 和 产品 光盘 。 
第 二 步 : 搭建 拓扑 ,配置 IP 地 址 。 


按照 如 图 2-1 所 示 拓 扑 图 ,搭建 实验 拓扑 ,并 根据 如 表 2-1 所 示 编 址 方案 ,配置 各 设 
备 的 IP 地 址 。 
表 2-1 设备 IP 地 址 
设 备 接 口 地 址 
ethl 接口 地 址 192. 168. 2. 1 
VPN 网 关 
etho 接口 地 址 10.1.1. 
PC 的 IP 地 址 10.1. 2,1 
PC 
PC 网 关 地 址 10. 1. 2.2 
服务 器 的 IP 地 址 192. 168. 2. 2 
服务 器 
服务 器 网 关 地 址 192. 168. 2.1 
F0/0 地 址 10.1.1.2 
Router 
F0/1 地 址 10.1.2.2 


说 明 : PC 及 Router 地 址 的 配置 方式 不 再 进行 详 述 。 
CD 通过 服务 器 的 超级 终端 ,在 命令 行 下 配置 VPN 网 关 的 ethl 口 地 址 ,操作 如 图 2-2 
所 示 ( 注 意 : VPN 网 关 出 厂 时 ethl 口 默认 地 址 为 192. 168. 1. 1/24)。 


图 2-2 配置 VPN 网 关 的 ethl 口 地 址 


(2) 通过 服务 器 上 VPN 管理 软件 登录 VPN 网 关 , 配 置 echo 口 地 址 ,操作 如 图 2-3 
所 示 。 
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图 2-3 配置 etho 口 地 址 (1) 
设置 echo 接口 地 址 ,如 图 2-4 所 示 。 
CE 
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图 2-4 配置 etho 口 地 址 (2) 


第 三 步 : 配置 IPSec VPN 隧道 。 

(1) 进入 远程 移动 用 户 VPN 隧道 配置 的 界面 。 

登录 VPN 网 关 的 管理 界面 ,进入 “远程 用 户 管理 "界面 ,如 图 2-5 所 示 。 

(2) 在 图 2-5 所 示 “ 远 程 用 户 管理 ”界面 上 ,选择 “允许 访问 子 网 ”项 ,打开 配置 “允许 
访问 子 网 ”信息 ,如 图 2-6 所 示 ,配置 地 址 信息 。 

(3) 在 图 2-5 所 示 ”* 远 程 用 户 管理 "界面 上 ,选择 “本 地 用 户 数据 库 ? 项 ,打开 配置 “本 
地 用 户 数 据 库 ” 信 息 , 如 图 2-7 所 示 。 
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图 2-5 配置 远程 用 户 管理 功能 
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远程 用 户 登 录 成 功 后 ,允许 访问 的 内 部 子 网 资源 。 


FW: .165 . 2 . o 


FEW] 255 .755 .255 0 


图 2-6 配置 “允许 访问 子 网 ”信息 


系统 信息 | 本 地 用 户 数据 库 HEBES] 


> IB FE 


允许 访问 子 ASRS AER 。 认证 参数 。 本 地 用 户 数 ” 虚 IP 地 址 池 APRE 5 
网 器 务 器 EI * 


图 2-7 配置 “本 地 用 户 数据 库 ” 信 息 


在 打开 的 “本 地 用 户 数据 库 ? 配 置信 息 界面 上 ,选择 “本 地 用 户 数据 库 ? 项 ,打开 本 地 用 


户 数据 库 , 单 击 “ 添 加 用 户 ” 按 钮 ,为 设备 添加 远程 访问 的 用 户 信 息 ,包括 用 户 名 ,口令 和 用 
户 权限 等 , 如 图 2-8 所 示 。 


在 图 2-8 所 示 的 “本 地 用 户 数据 库 ” 配 置信 息 界 面 上 , 单 击 “ 用 户 生效 ”按钮 ,让 配置 的 


户 信息 生 效 ( 注 意 : 添加 完 用 户 后 一 定 要 单 击 “ 用 户 生效 ”按钮 ,否则 新 添加 的 用 户 依然 
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D B a 
BAP 编辑 用 户 导入 用 户 列 表 。 导出 用 户 列表 
[ES T EP: HPZ HPU$ AAE 


ZAAPREE 
0TP 认 证 和 PAP 认 证 所 用 的 用 户 数 据 库 。 
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用 户 权限 
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图 2-8 添加 远程 访问 用 户 信 息 
不 可 使 用 ), 如 图 2-9, BI 2-10 所 示 。 
系统 信息 UEHUBPRUENE emp | 


p, n X jb] m n 
用 户 生效 添加 用 户 ERAP SEAP SAMPAR 。 导出 用 户 列表 


图 2-9 让 配置 的 用 户 信息 生效 (1) 


[3 8 X m B a 
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图 2-10 让 配置 的 用 户 信 息 生效 (2) 


(4) 配置 “ 虚 IP 地 址 池 ”。 
在 图 2-7 所 示 的 “远程 用 户 管理 ”界面 上 ,选择 “ 虚 IP 地 址 池 ? 图 标 , 打 开 配 置 “ 虚 TP 

地 址 池 ” 信 息 , 如 图 2-11 所 示 。 
在 打开 “ 虚 IP 地 址 池 " 管 理 界面 上 ,选择 “添加 ”、“ 删 除 ”、“ 编 辑 ” 图 标 , 配 置 “ 子 网 地 
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FRA | 本 地 用 户 数据 库 DEBRIS] 


9 . 5 y 5 


允许 访问 子 ”内 部 RS 服务 ”内 部 WIIS 服 。 认证 参数 — 本 地 用 户 数 ” 虚 IP 地 址 池 ”用 户 特征 码 ”当前 接 入 用 
网 器 务 器 mE * P 


图 2-11 配置 “ 虚 IP 地 址 池 ” 信 息 (1) 


址 .连续 地 址 ?信息 , 如 图 2-12 所 示 。 


GRUB | 本 地 用 户 数 据 库 | 远程 用 户 管理 ETARE] 


图 2-12 配置 * 虚 IP 地 址 池 ” 信 息 (2) 


注意 : 分 配 PC 机 的 虚拟 IP 地 址 , 既 可 以 是 定义 一 个 地 址 池 , 由 VPN 网 关 自 动 分 配 ; 
也 可 以 是 管理 员 一 个 IP 对 应 一 个 用 户 的 分 配 。 本 实验 选择 地 址 池 方 式 , 由 系统 自动 分 
配 , 并 且 选 择 定义 “ 子 网 地 址 ”的 地 址 池 。 

虚 全 是 网 络 管理 员 分 配给 远程 移动 用 户 的 IP, 表 示 只 有 拥有 该 IP 的 PC 机 才能 获得 
局 域 网 内 部 的 访问 权限 。 因 此 ,管理 员 设置 的 虚 IP 一定 不 要 与 远程 PC 的 IP 以 及 局 域 网 内 
部 的 全 互相 冲突 ,否则 远程 PC 在 和 VPN 网 关 建 立 隧道 后 , 因 地 址 冲突 的 问题 ,也 无 法 访问 
局 域 网 内 部 的 服务 器 。 本 实验 中 虚 IP 地 址 池 选 择 定义 一 个 完全 没有 使 用 的 网 段 。 

如 图 2-13 所 示 , 在 打开 “ 虚 IP 地 址 池 ” 管 理 界 面 上 ,选择 “添加 ”图 标 ,配置 如 图 所 示 
子 网 地 址 信息 。 


系统 信息 | 本 地 用 户 数 据 库 | 远程 用 户 管理 ETARE) 
mind 


js] X 


D g 
添加 MER Ld 清空 


FEW: 127 16 1 0 

FR | 255 ze . 255 o0 | 有 AT 
n 

omo 


图 2-13 配置 添加 子 网 地 址 信息 (1) 
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添加 成 功 的 子 网 地 址 信息 ,如 图 2-14 所 示 。 


系统 信息 | 本 地 用 户 数据 库 | 远程 用 户 管理 ISDN] 
[ar 


moy anm g 
添加 删除 编辑 BT 


172.16.1.0 255.255.255.0 子 网 地 址 


图 2-14 配置 添加 子 网 地 址 信息 (2) 


C) 配置 “用 户 特征 码 表 ”。 
在 如 图 2-5 所 示 的 “远程 用 户 管理 ”界面 上 ,选择 用户 特征 码 表 ” 图 标 , 打 开 配 置 “用 


户 特征 码 表 ”信息 ,如 图 2-15 所 示 。 
系统 信息 | 本 地 用 户 数据 库 HERPES] 


A - B 


RAF WIEN nena 认证 参数 bi ie 庶 ITF 地 址 池 RE NEAR 


图 2-15 配置 用户 特征 码 表 "信息 


打开 “用 户 特 征 码 表 ”图 标 后 ,选择 “允许 用 户 接 入 "策略 ,分 配 接 入 用 户 的 接 入 权限 : 
允许 接 入 ,如 图 2-16 所 示 。 


系统 信息 | 本 地 用 户 数 据 库 | TRAPS HERETER] 


[a] à o0 ù B LR B 
添加 Hs 44 Es 。 导入 导出 B 
「 不 在 表 中 的 用 户 接 入 第 略 
C RHEA G RA C dteHRA SE BANE 
MPE T FE | 


g = 


图 2-16 配置 用 户 接 入 策略 


配置 说 明 :“ 用 户 特征 码 表 ”是 为 需要 将 远程 PC 的 硬件 和 分 配给 用 户 的 身份 信息 绑 
定 的 需求 而 设计 的 。 选 择 了 ”人 允许 接 和 人 并 自动 绑 定 ?功能 , 则 VPN 网 关 会 将 远程 用 户 的 
PC 硬件 特征 码 与 该 用 户 的 身份 认证 信息 相互 绑 定 , 绑 定 后 该 用 户 将 无 法 用 自己 的 身份 
信息 再 在 其 他 PC 设备 上 建立 VPN 隧道 。 

在 实验 中 既 可 以 选择 “允许 接 人 ”, 也 可 以 选择 “允许 接 人 并 自动 绑 定 ”。 系 统 默 认 配 
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置 是 “禁止 接 人 ”。 图 示 选 择 的 是 “允许 接 人 ”, 这 表示 该 用 户 的 身份 信息 不 会 和 其 使 用 的 
PC 硬件 绑 定 。 

此 次 实验 “远程 用 户 管理 ?界面 的 其 他 配置 项 ,例如 “内 部 DNS 服务 器 "“ 内 部 
WINS 服务 器 ”“ 认 证 参数 ”, 用 户 可 以 根据 实际 需要 选择 设置 。 但 该 实验 因为 不 涉及 这 
些 应 用 , 故 不 需要 进行 设置 。 

第 四 步 : 配置 远程 接 入 客户 端 。 

(1) 第 一 次 运行 RG-SRA 程序 后 ,如 图 2-17 所 示 。 


锐 捷 安全 运程 接 入 系统 
ERO IAV HE) #MW 


连接 管理 L5] 
新 建 连接 
详细 信息 


图 2-17 运行 RG-SRA 程序 


(2) 建立 一 个 与 VPN 网 关 的 隧道 连接 。 
在 运行 RG-SRA 程序 主 界面 上 , 单 击 “ 新 建 连接 "按钮 ,建立 一 个 与 VPN 网 关 的 隧道 
连接 ,如 图 2-18 所 示 。 


锐 捷 安 全 远程 接 入 系统 
ERO IAV REY "RD 


连接 标识 : 


认证 方式 ， [kaaius 第 = 六 VW 证 ë ë ë 
口 在 点 面 上 凶 建 快捷 方式 
口 开 机 时 自动 启动 本 连接 


图 2-18 新 建 VPN 网 关 的 隧道 连接 


m—X 2.1 构建 远程 访问 IPSec VPN( 用 户口 令 ) 


在 新 建 VPN 网 关 “ 添 加 新 连接 ”的 隧道 连接 上 ,填写 新 建 VPN 网 关 的 隧道 连接 的 基 
本 信息 : 连接 标识 、 服 务 器 地 址 ,认证 方式 等 ,如 图 2-19 所 示 。 


锐 捷 安 全 远程 接 入 系统 
ERO IAW ESQ) 帮助 0 


连接 管理 


连接 标识 : ELI] 
服务 器 地 址 。 |10.1.1.1 


认证 方式 : Radius Ai x 


图 2-19 配置 新 建 隧道 连接 的 基本 信息 (1) 


如 图 2-20 所 示 是 配置 成 功 “ 添 加 新 连接 ”基本 信息 
单 击 “确定 ?按钮 后 ,显示 建立 完成 的 一 个 “与 VPN 网 关 的 隧道 1" 连接 标 号 ,如 图 2-21 
所 示 。 
锐 捷 安全 远程 接 入 系统 
ERO IAV BEY 帮助 人 0 


ER [Svatou 
服务 器 地 址 ;|10.1.1.1 


认证 方式 ，。 RR -| 


LIS EGREESE SC 
口 开机 时 自动 启动 本 连接 


Ca Jm) 


图 2-20 配置 新 建 隧 道 连 接 的 基本 信息 (2) 图 2-21 建立 完成 VPN 网 关 的 隧道 连接 


(3) 运行 该 隧道 连接 ,建立 VPN 隧道 。 

在 图 2-21 所 示 运 行 RG-SRA 程序 主 界面 上 , 单 击 “连接 管理 "按钮 ,选择 新 建立 “与 
VPN 网 关 的 隧道 "连接, 右 击 打开 快捷 菜单 ,选择 “启动 连接 ”命令 ,启动 新 建 的 隧道 连接 ， 
如 图 2-22 所 示 。 

选择 快捷 菜单 中 “启动 连接 ”命令 ,启动 新 建 的 隧道 连接 ,打开 如 图 2-23 所 示 的 “连接 
VPN” 对 话 框 ,输入 身份 认证 所 必需 的 账号 , 即 在 图 2-8 所 示 对 话 框 中 VPN 网 关上 添加 
的 用 户 信息 。 

在 图 2-23 对 话 框 中 输入 身份 认证 信息 后 , 单 击 “ 连 接 ” 按 钮 后 ,系统 自动 进行 身份 认 
证 ,并 且 开 始 IKE 协商 ,如 图 2-24 所 示 。 系 统 自动 进行 身份 认证 后 ,与 远程 隧道 连接 建立 
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锐 捷 安全 运程 接 人 系统 


ERO IAW 


VPN 专用 设备 远程 访问 安全 E 


Ho 帮助 oD 


服务 器 地 址 : 


WESS: 


(nS QD 
MINER QD 


| 
| eR D | 


与 VPNA 的 隧道 
10.1.1.1 


网 关 本 地 认证 


图 2-22 启动 新 建 的 隧道 连接 


m) 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 


RPU) [test 
s pe [eee 
保存 密码 6) 


图 2-23 登录 VPN 远程 安全 接 入 系统 


锐 捷 安 全 运程 接 入 系统 


iC) IAV Eg WR 


连接 名 称 : 
与 YPNA 的 隧道 
服务 器 地 址 : 
10.1.1.1 
认证 方式 : 


与 YPNA 的 隘 
EH 


ET 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 


认证 登录 成 功 开始 设置 系统 配置 
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图 2-24 系统 自动 进行 身份 认证 


m—— 2.1 构建 远程 访问 IPSec VPN( 用 户口 令 ) m 


成 功 ,SRA 程序 会 自动 缩小 图 标 显示 在 系统 桌面 屏幕 的 右 下角, 如 图 2-25 所 示 。 
选择 SRA 程序 运行 成 功 缩小 图 标 , 右 击 打开 快捷 菜单 ,在 菜单 中 选择 “详细 配置 ”可 
以 查看 到 隧道 信息 ,如 图 2-26 所 示 。 


RG-SRAÑERH aj 
关于 BG-SBA 
| | 
退出 ——— 
E - 起 19:35 19:35 
:a gà) EN S07 2 星期 
z 2006-11-8 á | $ 2008-1-8 
图 2-25 SRA 程序 运行 成 功 缩小 图 标 图 2-26 查看 到 隧道 信息 


如 图 2-27 所 示 信 息 为 查看 到 隧道 信息 ,显示 “可 访问 ”表示 隧道 已 建立 成 功 ,如 果 是 
“不 可 访问 " 则 表示 隧道 没有 建立 成 功 。“ 资 源 信息 ” 中 显示 的 “虚拟 TP 地 址 "信息 ,表示 该 
IP Jy VPN 网 关 从 虚 地 址 池 中 自动 分 配给 该 PC 的 虚 IP. 


tim) 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 
安 


S3 
. 网 0 (192. 168. 2. 07-192. 168. 2. 255) 呵 访问 ) 


“可 访问 ” 表示 隧道 已 
建立 成 功 , 如 果 是 “不 
可 访问 ” 则 表示 隧道 没 
有 建立 成 功 。 


iX IPH VPN 网 关 从 
mee 虎 地 址 地 中 自动 分 
地 址 类 型 ， 自 动 配置 配给 该 PC 的 虚 P。 
虚拟 IP 地 址 ，172161.1 
DNS 服务 器 : 
WIN5 服 务 器 : 


图 2-27 显示 隧道 配置 信息 内 容 


第 五 步 : 验证 测试 。 

如 图 2-28 所 示 信 息 ,在 图 2-5 所 示 VPN 网 关 的 管理 界面 ,可 看 到 已 经 建立 成 功 的 隧 
道 信息 ,选择 “隧道 协商 状态 ”项 ,可 以 查看 隧道 协商 
信息 。 

隧道 启动 后 ,可 以 在 “隧道 协商 状态 ”栏目 下 ,看 到 隧 
道 的 协商 状态 。 打 开 后 “隧道 状态 ”显示 “第 二 阶段 协商 
IRE)". VPN 隧道 通信 情况 可 以 在 “隧道 协商 状态 ”中 查 
看 到 ,如 图 2-29 所 示 。 

第 六 步 : 进行 隧道 通信 。 PW 

在 远程 用 户 PC 机 上 去 访问 服务 器 提供 的 服务 可 以 图 2-28 查看 隧道 协商 信息 (1) 
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Em 


隧道 名 称 是 
系统 自动 定义 的 


图 2-29 查看 隧道 协商 信息 (2) 


成 功 , 或 者 在 PC 上 ping 服务 器 的 IP 地 址 可 以 ping 通 ( 没 有 VPN 隧道 前 ping 会 是 失 


败 的 ) 。 
如 
隧 


的 通信 


所 示 。 


图 2-30 所 示 , 在 VPN 网 关 的 管理 界面 ,选择 “隧道 0 P een 
态 "可 以 查看 隧道 通信 信息 。 ue 
道 启动 后 ,在 “隧道 通信 状态 "栏目 下 看 到 隧道 通信 & 
隧道 状态 ”显示 "第 二 阶段 协商 成 功 ”。VPN 隧道 gm 
情况 可 以 在 “隧道 通信 状态 "中 查看 到 ,如 图 2-31 m 
图 2-30 ”查看 隧道 通信 信息 (1) 


系统 信息 | 网 络 接口 | Bog JABA] 江道 协商 状态 | 
FS | 类 型 | FEFA ] HIFA | ”发送 成 功 包 数 。 |。 发 送 失败 包 数 | REMHFPA | 


1 IKE 192. 168. 2. 0/24 192. 168. 1. 0/24 14 0 840 


图 2-31 查看 隧道 通信 信息 (2) 


【注意 事项 】 


实验 环境 地 址 可 以 随意 定义 ,但 请 不 要 使 用 1. 1. 1.0 这 个 网 段 的 IP, 因 为 某 些 功 
能 实现 的 需要 ,VPN 系统 内 部 已 占用 该 网 段 的 部 分 IP。 

该 实验 中 ,VPN 网 关 的 防火 墙 规则 为 全 部 开放 。 但 在 实际 的 网 络 环境 中 ,如 果 
VPN 网 关 直接 连接 Internet 网 络 , 则 一 定 需 要 启用 防火 墙 规则 。 

RG-SRA 是 VPN 客户 端 软件 程序 ,如 果 PC 机 上 已 预 装 其 他 厂家 的 VPN 客户 端 
程序 ,请 先 印 载 其 他 厂家 的 VPN 客户 端 程序 ,否则 可 能 RG-SRA 无 法 正常 工作 。 


mu—X 2.2 构建 远程 访问 IPSec VPN(OUSB-Key 数字 证 书 ) mmm 


* RG-SRA 作为 安全 产品 ,安装 后 会 对 系统 的 网 卡 、 端 口 、 协 议 等 方面 有 改动 ,因此 
会 和 部 分 防火 墙 或 者 防 病毒 程序 不 兼容 。 推 荐 用 户 使 用 没有 安装 任何 第 三 方 防 
火 墙 、 防 病毒 程序 的 机 器 来 做 实验 。 


22 构建 远程 访问 IPSec VPN(USB-Key 数字 证 书 ) 


【实验 名 称 】 
构建 远程 访问 IPSec VPN(USB-Key 数字 证 书 ) 。 


【实验 目的 】 
学 习 配置 远程 访问 (Remote Access)IPSec VPN 隧道 ,熟悉 远程 接 人 方式 下 的 VPN 隧道 
建立 过 程 。 同 时 掌握 采用 USB Key 数字 证 书 身 份 认证 方式 建立 远程 访问 VPN 技术 。 


【背景 描述 】 

某 员工 正在 外 地 出 差 ,但 需要 访问 公司 内 网 中 的 服务 器 资源 ,而 这 些 服务 器 资源 因 安 
全 性 考虑 ,并 不 直接 在 Internet 公 网 上 开放 。 因 此 该 员工 必须 通过 先 和 公司 建立 VPN 隧 
道 ,获得 访问 内 部 资源 的 权力 后 才能 访问 公司 内 网 中 服务 器 资源 。 

远程 接 人 用 户 在 建立 VPN 隧道 前 ,必须 获得 公司 VPN 网 关 的 身份 许可 。 为 了 更 加 
安全 需要 ,用 户 的 身份 信息 保存 ,不 采用 传统 的 口令 方式 ,而 是 采用 USB Key 设备 的 方式 
(USB Key 内 存储 标示 用 户 身份 的 数字 证 书 ) 。 


【需求 分 析 】 

需求 : 解决 出 差 员工 和 公司 内 网 之 间 , 通 过 Internet 进行 数据 传输 的 安全 问题 。 

分 析 : IPSec VPN 技术 通过 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技 术 、 认 证 技术 等 有 效 
地 保证 了 数据 在 Internet 中 传输 的 安全 性 ,是 目前 最 安全 ,使 用 最 广泛 的 VPN BOR. WT 
以 通过 建立 远程 访问 的 IPSec VPN 加 密 隧道 ,实现 出 差 员 工 和 公司 内 网 服务 器 之 间 安 全 
的 数据 传输 。 

采用 USB Key 设备 存储 用 户 的 数字 证 书 ,可 以 防止 数字 证 书 被 次 用 ,这 也 是 目前 最 
为 安全 的 一 种 身份 认证 方式 。 

【实验 拓扑 】 

如 图 2-32 所 示 网 络 拓扑 ,是 某 公 司 员工 在 外 地 出 差 ,需要 访问 公司 内 网 中 的 服务 器 
资源 。 由 于 通过 Internet 数据 传输 的 安全 问题 ,公司 服务 器 资源 因 安 全 性 考虑 不 直接 在 
公 网 上 开放 。 外 地 远程 访问 总 公司 的 各 种 网 络 资源 ,在 Internet 上 传输 数据 ,公司 希望 建 


ERE ER. 


服务 器 VPN 网 关 远程 用 户 
图 2-32 构建 远程 访问 IPSec VPN 网 络 拓扑 


Internet 
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立 IPSec VPN 加 密 隧道 。 为 了 保障 用 户 的 身份 信息 安全 ,不 采用 传统 的 口令 方式 ,而 是 
采用 USB Key 设备 的 方式 ,通过 IPSec VPN 隧道 获得 访问 内 部 资源 ,实现 和 总 公司 之 间 
安全 的 数据 传输 。 


【实验 设备 】 

RG-WALL VPN 网 关 : 1 台 ;RG-SRA 安全 远程 接 人 系统 软件 : 1 套 ;RG-Key 9/4] 
存储 器 : 1 个 ;RG-CMS 证 书 管理 系统 软件 : 1 套 ;路 由 器 : 1 台 ;PC: 2 台 (1 台 作 为 公司 
内 部 服务 器 ,1 台 作 为 远程 接 入 用 户 并 安装 SRA 软件 ) 。 


【预备 知识 

IKE 工作 原理 

Internet Key Exchange, 因 特 网 密 钥 交换 。 它 的 作用 是 协助 进行 安全 管理 。IKE 在 
进行 IPSec 处 理 过 程 中 ,对 身份 进行 鉴别 ,同时 进行 安全 策略 的 协商 ,处 理会 话 密 钥 的 交 
换 工作 。Internet 密 钥 交换 协议 IKE 主要 用 于 VPN 使 用 中 加 密 密 钥 及 提供 分 配 密 钥 的 
一 种 方法 ,在 VPN 端点 间 ,规定 了 如 何 保护 数据 的 安全 机 制 。 

Internet 密 钥 交换 (IKE) 解 决 了 在 不 安全 的 网 络 环境 (如 Internet) 中 ,安全 地 建立 或 
更 新 共享 密 钥 的 问题 。IKE 是 非常 通用 的 协议 ,不仅 可 为 IPSec 协商 安全 关联 ,而 且 可 以 
为 SNMPv3,RIPv2 ,OSPFv2 等 任何 要 求 保密 的 协议 协商 安全 参数 。 

IKE 属于 一 种 混合 型 协议 ,由 Internet 安全 关联 、 密 钥 管 理 协议 (ISAKMP) 和 两 种 密 
钥 交换 协议 OAKLEY 与 SKEME 组 成 。IKE 主要 有 三 项 任务 : 为 端点 间 的 认证 提供 方 
法 ;建立 新 的 IPSec 连接 (创建 一 对 SA) ;管理 现 有 连接 。 

IKE 跟踪 连接 的 方法 是 给 每 个 连接 ,分 配 一 组 安全 联盟 (SA)。SA 描述 与 特殊 连接 
相关 的 所 有 参数 ,包括 使 用 的 IPSec 协议 (ESP/AH/ 二 者 兼 有 ) ,加密 /解密 和 认证 /确认 
传输 数据 使 用 的 对 话 密 钥 。SA 本 身 是 单 向 的 ,每 个 连接 需要 一 个 以 上 的 SA。 大 多 数 情 
况 下 ,只 使 用 ESP 或 AH ,每 个 连接 要 创建 两 个 SA ,一 个 描述 入 站 数据 流 , 另 一 个 描述 出 
站 数据 流 。 同 时 使 用 ESP 和 AH 的 情况 中 就 要 创建 4 个 SA。 

PKI/CA 数字 证 书 

Internet 的 发 展 和 信息 技术 普及 ,给 人 们 的 工作 和 生活 带 来 了 前 所 未 有 的 便利 。 然 
而 ,由 于 Internet 所 具有 的 广泛 性 和 开放 性 ,决定 了 Internet 不 可 避免 地 存在 着 信息 安全 
隐患 。 为 了 防范 信息 安全 风险 ,许多 新 的 安全 技术 和 规范 不 断 涌现 , PKI(Public Key 
Infrastructure, 公 开 密 钥 基 础 设施 ) 即 是 其 中 一 员 。 

PKI 产生 于 20 世纪 80 年 代 , 它 是 在 公开 密 钥 理论 和 技术 基础 上 发 展 起 来 的 一 种 综 
合 安全 平台 ,能 够 为 所 有 网 络 应 用 透明 地 提供 采用 加 密 和 数字 签名 等 密码 服务 所 必需 的 
密 钥 和 证 书 管理 ,从 而 达到 保证 网 上 传递 信息 的 安全 ,真实 .完整 和 不 可 抵赖 的 目的 。 为 
网 络 通信 和 网 上 交易 提供 身份 认证 ,保证 数据 完整 性 .数据 保密 性 .数据 公正 性 .不 可 否认 
性 及 时 间 戳 服务 安全 基础 平台 。 

PKI 是 一 种 遵循 标准 , 它 利 用 公 钥 加 密 技 术 为 电子 商务 的 开展 ,提供 一 套 安全 基础 平 
台 的 技术 和 规范 。PKI 的 核心 组 成 部 分 CA Certification Authority, 认 证 中 心 ) 是 数字 证 
书 的 签发 机 构 。 数 字 证 书 ,有 时 被 称 为 数字 身份 证 ,是 一 个 符合 一 定格 式 的 电子 文件 ,用 
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来 识别 电子 证 书 持 有 者 的 真实 身份 。 

利用 PKI 可 以 方便 地 建立 和 维护 一 个 可 信 网 络 计算 环境 ,从 而 使 得 人 们 在 这 个 无 法 直 
接 相互 面 对 的 环境 里 ,能 够 确认 彼此 的 身份 和 所 交换 的 信息 ,能 够 安全 地 从 事 商 务 活 动 。 

不 难看 出 ,建立 以 PKI 为 基础 的 安全 解决 方案 ,无 论 是 对 在 Intranet 上 开展 的 无 纸 
办 公 等 内 部 业务 ,还 是 对 电子 支付 \ 网 上 证 券 交 易 、 网 上 购物 .网 上 教育 ,网 上 娱乐 等 网 络 
应 用 ,都 是 一 种 安全 可 靠 的 选择 。 

PKI 安 全 的 基础 设施 把 公 钥 密码 和 对 称 密码 结合 起 来 ,采用 证 书 管理 公 钥 。PKI A 
钥 基础 同样 遵循 密码 体制 中 , 非 对 称 密码 体制 的 五 个 基本 要 素 ( 公 钥 、 私 钥 .原文 .算法 、 密 
文 ) 。 密 钥 对 应 用 数字 证 书 保存 .加 密 算 法 一 般 保 存在 证 书 当 中 ,通过 第 三 方 的 可 信任 机 
H: CA 认证 中 心 保 存 。 把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 捆绑 在 一 起 ,在 Internet 网 
上 验证 用 户 的 身份 。 

认证 中 心 作为 PKI 的 核心 部 分 ,CA 实现 了 PKI 中 一 些 很 重要 的 功能 ,概括 地 说 , 认 
证 中 心 的 功能 有 证 书 发 放 .证书 更 新 .证 书 撤销 和 证 书 验证 。 

CA 作为 电子 交易 中 受信 任 第 三 方 ,负责 为 电子 商务 环境 中 各 个 实体 颁发 数字 证 书 ， 
以 证 明 各 实体 身份 的 真实 性 ,并 负责 在 交易 中 检验 和 管理 证 书 。 数 字 证 书 的 用 户 拥有 自 
己 的 公 钥 / 私 钥 对 。 证 书 中 包含 有 证 书 主体 的 身份 信息 、 其 公 钥 数据 ,发 证 机 构 名 称 等 ,发 
证 机 构 验 证 证 书 主体 为 合法 注册 实体 后 ,就 对 上 述 信息 进行 数字 签名 ,形成 证 书 。 

在 公 钥 证 书 体系 中 ,如 果 某 公 钥 用 户 需 要 任何 其 他 已 向 CA 注册 的 用 户 的 公 钥 ,可 直 
接 向 该 用 户 索 取证 书 , 而 后 用 CA 的 公 钥 解密 解密 即 可 得 到 认证 的 公 钥 ;由 于 证 书 中 已 有 
CA 的 签名 来 实现 认证 ,攻击 者 不 具有 CA 的 签名 密 钥 ,很 难 伪造 出 合法 的 证 书 , 从 而 实 
现 了 公 钥 的 认证 性 。 

数字 证 书 认 证 中 心 是 整个 网 上 电子 交易 安全 的 关键 环节 ,是 电子 交易 中 信赖 的 基础 。 
它 必须 是 所 有 合法 注册 用 户 所 领带 的 具有 权威 性 、 依 赖 性 及 公正 性 的 第 三 方 机 构 。CA 
的 核心 功能 就 是 发 放 和 管理 数字 证 书 。 

概括 地 说 ,CA 的 功能 主要 有 证 书 发 放 、 证 书 更 新 .证 书 撤销 和 证 书 验证 。 具 体 描述 如 下 ， 

。 接收 验证 用 户 数字 证 书 的 申请 。 

。 确定 是 否 接 受用 户 数字 证 书 的 申请 , 即 证 书 的 审批 。 

。 向 申请 者 颁发 (或 拒绝 颁发 ) 数 字 证 书 。 

。 接收 、 处 理 用 户 的 数字 证 书 更 新 请 求 。 

。 接收 用 户 数 字 证 书 的 查询 撤销。 

。 产生 和 发 布 证 书 的 有 效 期 。 

。 数字 证 书 的 归档 。 

。 密 钥 归 档 。 

。 历史 数据 归档 。 

【实验 原理 】 

IPSec 的 主要 作用 是 为 IP 数据 通信 提供 安全 服务 。IPSec 不 是 一 个 单独 协议 , 它 是 
一 套 完 整 的 体系 框架 ,包括 AH、ESP 和 IKE 三 个 协议 。IPSec 使 用 了 多 种 加 密 算法 、 散 
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列 算法 、 密 钥 交换 方法 等 为 IP 数据 流 提供 安全 性 , 它 可 以 提供 数据 的 机 密 性 、 数 据 的 完整 
性 .数据 源 认证 和 反 重 放 等 安全 服务 。 

远程 用 户 PC 与 公司 VPN 网 关 通 过 因特网 密 钥 交 换 协 议 IKE. 自动 协商 建立 起 远程 访 
li] IPSec VPN 加 密 隧道 ,使 得 远程 用 户 PC 能 安全 地 访问 到 VPN 网 关 所 保护 的 内 部 服务 器 。 

远程 用 户 PC 在 和 VPN 网 关 建 立 VPN 隧道 前 ,需要 先 获得 VPN 网 关 的 身份 验证 许 
可 ,只 有 获得 许可 的 用 户 , 才 可 以 安全 地 接 入 。 本 实验 采用 的 用 户 身 份 验 证 为 数字 证 书 方 
式 ,数字 证 书 由 CA 中 心 ( 即 RG-CMS 系统 ) 颁 发 ,并 存储 在 USB Key 设备 (RG-Key) 中 。 

远程 用 户 PC 在 通过 VPN 网 关 的 身份 验证 后 ,VPN 网 关 会 自动 将 VPN 隧道 建立 
( 即 IKE 协商 ) 所 需要 的 配置 下 发 给 远程 用 户 PC, 然 后 远程 用 户 PC 与 VPN 网 关 之 间 自 
动 开 始 IKE 协商 ,协商 成 功 后 VPN 隧道 建立 成 功 。 整 个 过 程 系 统 自动 完成 ,无 需 人 为 干 
预 ,是 免 配 置 的 典型 方式 。 


【实验 步骤 】 

第 一 步 : 准备 好 PC 机 和 服务 器 。 

在 远程 用 户 PC 上 安装 SRA 远程 接 人 软件 ,安装 完成 后 需要 重启 PC 方 保证 生效 。 

在 服务 器 PC 上 安装 VPN 管理 软件 和 RG-CMS 系统 。 

另外 ,在 安装 RG-CMS 和 RG-SRA 过 程 中 ,安装 程序 会 提示 要 安装 USB Key( 即 
RG-Key) 的 驱动 ,请 一 定 选择 安装 。 

具体 的 安装 过 程 不 在 这 里 进行 详 述 ,可 以 查看 产品 的 随机 说 品 书 和 产品 光盘 。 

第 二 步 : 搭建 拓扑 ,配置 IP 地 址 。 

按照 如 图 2-32 所 示 拓 扑 图 ,搭建 实验 拓扑 ,并 根据 如 表 2-2 所 示 编 址 方案 ,配置 各 设 
备 的 IP 地 址 。 


表 2-2 设备 IP 地址 


设 备 接 口 地 址 
ethl 接口 地 址 192.168.2.1 
VPN 网 关 
etho 接口 地 址 10.1.1.1 
" PC 的 IP 地 址 10.1.2.1 
PC 网 关 地 址 10.1.2.2 
服务 器 的 IP 地 址 192. 168. 2. 2 
服务 器 
服务 器 网 关 地址 192. 168. 2. 1 
Fo/0 地 址 10.1.1.2 
Router 
F0/1 地 址 10.1.2.2 


说 明 : PC 及 Router 地 址 的 配置 方式 不 再 详 述 。 


CD 通过 服务 器 的 超级 终端 ,在 命令 行 下 配置 VPN 网 关 的 ethl 口 地 址 ,操作 如 
图 2-33 所 示 ( 注 意 : VPN 网 关 出 厂 时 ethl 口 默 认 地 址 为 192. 168. 1. 1/24)。 
(2) 通过 服务 器 上 VPN 管理 软件 登录 VPN 网 关 , 然 后 直接 双击 “eth0 接口 "图标 打 
开 对 话 框 ,配置 eth0 口 地 址 ,操作 如 图 2-34 所 示 。 
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图 2-33 配置 VPN 网 关 ethl 口 地 址 
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图 2-34 配置 VPN 网 关 etho 口 地 址 (1) 
按照 对 话 框 提示 的 要 求 , 设 置 eth0 接口 地 址 ,如 图 2-35 所 示 。 
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Ed 2-35 Bü VPN 网 关 etho 口 地 址 (2) 


数字 证 书 ) 
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第 三 步 : 生成 VPN 网 关 数 字 证 书 。 


COD 在 图 2-34 Bros. VPN 管理 软件 主 界面 上 ,选择 “PKI 管理 ?功能 ,进入 "PKI 管理 ” 
界面 ,如 图 2-36 所 示 。 


zane sej 
p E a Eg B 


证 书 管理 idu sepu unum CA 操作 


图 2-36 选择 "PKI 管 理 " 界 面 


(2) 打开 “PKI 管理 "界面 , 单 击 “ 生 成 设备 证 书 ” 按 钮 ,按照 界面 提示 输入 信息 ,如 
图 2-37 所 示 。 
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SEOSNI T T T Esc E 


ero f 
€ mcn f 


图 2-37 生成 设备 证 书 配置 


G) 单 击 “ 确 定 ” 按 钮 后 ,系统 会 提示 证 书生 成 成 功 ,并 要 求 保存 配置 ,否则 系统 重启 
后 ,证 书信 息 将 丢失 ,如 图 2-38 所 示 。 

在 图 2-34 所 示 VPN 管理 软件 主 界面 上 ,选择 “设备 管理 ” 主 菜单 功能 ,执行 “保存 配 
置 ?操作 ,如 图 2-39 所 示 。 

新 生成 的 数字 证 书 需 要 执行 一 次 “ 重 载 设备 证 书 ” 的 操作 ,否则 VPN 系统 并 没有 将 
该 数字 证 书生 效 。 在 图 2-34 VPN 管理 软件 主 界 面 上 ,选择 “虚拟 专用 网 ”菜单 项 , 打 
IPSec VPN 功能 项 ,双击 “ 重 载 设备 证 书 ”, 操 作 如 图 2-40 所 示 。 

在 打开 的 对 话 框 中 , 因 没 有 建立 隧道 ,所 以 该 提示 可 以 忽略 , 单 击 “ 确 定 ” 按 钮 后 ,提示 
重 载 操作 成 功 ,如 图 2-41 所 示 。 
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图 2-41 重 载 设备 证 书 完 成 


(4) 新 生成 的 设备 证 书 可 以 在 图 2-36 所 示 的 PKI 界面 的 证书 管理 ”中 查看 到 。 

在 图 2-34 所 示 VPN 管理 软件 主 界面 上 ,选择 “PKI 管理 ”功能 项 ,双击 “证 书 管理 ”， 
即 可 查看 证 书信 息 , 如 图 2-42 所 示 。 

注意 : 数字 证 书 通常 由 CA 中 心 来 颁发 ,本 实验 中 RG-CMS 充当 的 是 CA 中 心 的 角 
色 , 因 此 VPN 网 关 的 数字 证 书 应 该 由 RG-CMS 来 颁发 。 

为 了 简化 操作 ,在 锐 捷 VPN 网 关中 , 预 置 了 CA 的 颁发 数字 证 书 的 功能 ,预先 定义 了 
CA 中 心 的 默认 根 CA( 即 锐 捷 根 CA)。 可 以 通过 图 2-36 所 示 PKI 界面 的 “证 书 管理 ”~ 
“证 书 颁发 机 构 ” 标 签 , 查 看 到 该 默认 的 锐 捷 根 CA ,如 图 2-43 所 示 。 

因此 本 实验 中 ,CA 中 心 的 根 CA 选择 了 默认 的 锐 捷 根 CA。 直 接 在 VPN 网 关上 生 
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Hi adm VPN Root CÀ Nov 8 12:42:04 2026 GMT 
[5^0...] Ero] ( so ] (sso...) 
图 2-42 查看 证 书信 息 
查看 证 书 
EBERIN (CA) 


iim ol 
本 机 证 书 RAEN | 证 书 吊销 列表 | 
[ 序号 


1 VPN. Root, CA VPN Root, CA May 12 09:06:13 2026 GMT 


SAW.. 导出 下 ) Beso s 


图 2-43. 查看 证 书 颁发 机 构 信 息 


成 VPN 网 关 的 数字 证 书 。 

第 五 步 中 使 用 RG-CMS 为 移动 用 户 ( 即 PC 用 户 ) 生 成 数字 证 书 时 ,注意 其 CA 根 证 
书 也 要 采用 锐 捷 默认 根 CA。 在 第 一 次 运行 RG-CMS 时 ,系统 会 给 出 CA 根 证 书 的 提示 
信息 。 一 旦 选择 错误 ,需要 印 载 RG-CMS 后 再 重新 安装 ,并 重新 选择 。 

第 四 步 : 配置 IPSec VPN 隧道 。 

(1) 进入 远程 移动 用 户 VPN 隧道 配置 界面 。 

登录 VPN 网 关 的 管理 界面 ,在 图 2-34 所 示 的 VPN 管理 软件 主 界 面 上 ,选择 “虚拟 专 
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用 网 ”菜单 项 ,打开 IPSec VPN 功能 项 ,双击 “远程 用 户 管理 ”项 ,打开 “远程 用 户 管理 ” 界 
面 ,操作 如 图 2-44 所 示 。 


EI aki | Pieri | GAHAN DESERET] WENE | 


| Boer 2 和 gu & g B 


Eyes UTQHT MESES ANERE vare SHAPER Emtia APH ”当前 接 入 月 
"A E] gpr ues cup 和 


sm 
Bs 
z 
E 
E 


33 
i3 
m 
? 
L4 
RE 


^ xut 
日 -网 rrt Fl 


A wen 
CLS OLL 


图 2-44 打开 * 远 程 用 户 管理 "功能 


(2) 配置 “允许 访问 子 网 ”。 
在 打开 的 “远程 用 户 管理 ?界面 上 配置 “允许 访问 子 网 ?功能 ,配置 “允许 访问 子 网 ”, 操 
作 如 图 2-45 所 示 。 


系统 信息 | RARD | 访问 规则 EREDE] piti | 


AAF lis mid ARTE Viren bir ^ d mini APR 


远程 用 户 警 录 成 功 后 ， 欧 许 访问 的 内 部 子 网 上 源 。 


FW me : 0 
Faea | 255 -25 255 . 0 


图 2-45 配置 “允许 访问 子 网 ” 


在 图 2-44 所 示 的 “远程 用 户 管理 ?界面 上 选择 * 认 证 参数 配置 ?功能 ,配置 认证 参数 ， 
操作 如 图 2-46 所 示 。 打 开 “ 认 证 参数 配置 "功能 后 ,选择 “证 书 认证 配置 ”, 提 示 认 证 证 书 
根 证 书记 录 信息 。 

G) 配置 “ 虚 IP 地 址 池 ”。 

在 打开 图 2-44 所 示 的 “远程 用 户 管理 ”界面 上 选择 “ 虚 IP 地 址 池 ” 功 能 项 ,配置 虚 IP 
地 址 池 参 数 ,操作 如 图 2-47 Bron. 
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ET 


s 3 9g s s B v 5 


允许 访问 子 ”内 部 DNS 服务 ”内 部 WINS 服 — 认证 参数 。 本 地 用 户 数 ” 虚 IF 地 址 池 ”用 户 特征 码 ”当前 接 入 用 
网 器 务 器 E * P 


认证 参数 配置 
* | orPAuERE | RADIUS 认 证 设置 | RUTES | 
FAiECA 根 证 节 


RENE 


e 


(9 (9 


缺 省 策略 :人 允许 CHE 


LI REL aki] 


图 2-46 配置 “认证 参数 配置 


系统 信息 | 本 地 用 户 数据 库 DEEP] 


k a BIENS liri ia 认证 参数 4 miri i SNENA 


图 2-47 Meit“ IP 地 址 池 ?” 


在 打开 的 “ 虚 IP 地 址 池 ” 界 面 上 选择 “ 虚 IP 地 址 池 ”, 按 “添加 ”按钮 ,配置 子 网 地 址 的 
虚 IP 地 址 信息 ,如 图 2-48 所 示 。 


系统 信息 | 本 地 用 户 数据 库 | 远程 用 户 管理 于 | 


图 2-48 配置 相关 的 虚 IP 地 址 信息 
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注意 : 分 配 PC 的 虚拟 IP 地 址 , 既 可 以 定义 一 个 地 址 池 , 由 VPN 网 关 自动 分 配 , 也 可 
以 请 管理 员 一 个 IP 对 应 一 个 用 户 的 分 配 , 本 实验 选择 地 址 池 方式 ,由 系统 自动 分 配 , 并 且 
选择 定义 “ 子 网 地 址 ”的 地 址 池 。 

虚 IP 是 网 络 管理 员 分 配给 远程 移动 用 户 的 IP, 表 示 只 有 拥有 该 IP 的 PC 才能 获得 
局 域 网 内 部 的 访问 权限 。 因 此 ,管理 员 设 置 的 虚 IP 一 定 不 要 与 远程 PC 的 IP 冲突 ,以 及 
和 局 域 网 内 部 的 IP 互相 冲突 。 和 否则 远程 PC 在 和 VPN 网 关 建 立 隧道 后 , 因 地 址 冲突 的 
问题 ,也 无 法 访问 局 域 网 内 部 的 服务 器 。 本 实验 中 虚 IP 地 址 池 选 择 定义 一 个 完全 没有 使 
用 的 网 段 ,如 图 2-49 所 示 。 


系统 信息 | 本 地 用 户 数据 库 | 远程 用 户 管理 ETARE] 
muris 


图 2-49 配置 相关 的 虚 IP 地 址 信息 
按 “ 确 定 ” 后 ,如 图 2-50 所 示 是 配置 成 功 的 虚 TP 地 址 信息 。 


AIRA | 本 地 用 户 数据 库 | 远程 用 户 管理 DEIPDRORU 
庶 IP 地 址 池 

Bs] à D B 

添加 — B ea RE 


172.16.1.0 255.255.255.0 子 网 地 址 


图 2-50 配置 成 功 的 虚 IP 地 址 信息 


(4) 配置 用户 特征 码 ”。 
在 打开 图 2-47 所 示 “ 远 程 用 户 管 理 ” 界 面 上 选择 “用 户 特征 码 ” 功 能 ,配置 用 户 特征 码 
参数 ,操作 如 图 2-51 所 示 。 


系统 信息 | SHAPER HERERUPESE] 
£ 9g 9 到 c S 


fte ANNA iri n 认证 参数 TRE Erhi iud MINA 


图 2-51 配置 用 户 特 征 码 信息 


打开 “用 户 特 征 码 ” 配 置 界面 ,选择 配置 “允许 接 入 ”功能 ,配置 用 户 特 征 码 接 入 参数 ， 
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操作 如 图 2-52 所 示 。 


系统 信息 | 本 地 用 户 数据 库 | 远程 用 户 芝 理 EREEREER] 


图 2-52 配置 允许 用 户 接 入 特征 码 


配置 说 明 :“ 用 户 特 征 码 表 ”是 为 将 远程 PC 的 硬件 和 分 配给 用 户 身 份 信息 绑 定 需求 
而 设计 的 。 如 果 选 择 图 2-52 上 “人 允许 接 人 并 自动 绑 定 功能, 则 VPN 网 关 会 将 远程 用 户 
的 PC 硬件 特征 码 与 该 用 户 的 身份 认证 信息 相互 绑 定 , 绑 定 后 该 用 户 将 无 法 用 自己 的 身 
份 信息 再 在 其 他 PC 设备 上 建立 VPN 隧道 。 

本 实验 中 既 可 以 选择 “允许 接 人 ”, 也 可 以 选择 "允许 接 人 并 自动 绑 定 ”。 系 统 默 认 配 
置 是 “禁止 接 人 ”。 图 2-52 上 选择 的 是 “允许 接 入 ”项 ,这 表示 该 用 户 的 身份 信息 不 会 和 其 
使 用 的 PC 硬件 绑 定 。 

此 次 实验 ,远程 用 户 管理 ?界面 的 其 他 配置 项 ,例如 ,* 内 部 DNS 服务 器 >"“ 内 部 
WINS 服务 器 ?"“ 认 证 参数 ”, 用 户 可 以 根据 实际 需要 选择 设置 。 但 该 实验 因为 不 涉及 这 
些 应 用 , 故 不 需要 进行 设置 。 

第 五 步 : 为 远程 接 入 用 户 颁发 数字 证 书 。 

(1) 在 服务 器 上 运行 RG-CMS 程序 。 

第 一 次 运行 RG-CMS 时 ,系统 会 提示 选择 使 用 哪 种 CA 根 证 书 。 因 该 实验 采用 的 是 
系统 默认 的 锐 捷 根 CA, 因 此 按照 如 图 2-53 所 示 做 选择 。 

(2) 在 打开 的 “RG-CMS 程序 ”中 ,进入 RG-CMS 后, 打开“ 用户 操作 ”菜单 , 先 添加 一 
个 新 用 户 , 如 图 2-54 所 示 。 


| 


[6 默认 固定 根 
使 用 本 软 件 自 带 的 CA 根 证 书 和 私 钥 ( 推荐 ) 


图 2-53 运行 RG-CMS 程序 图 2-54 添加 一 个 新 用 户 
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在 如 图 2-55 所 示 的 “用 户 信 息 ” 界 面 上 ,根据 提示 ,输入 全 部 的 信息 。 


用 户 pei 
电子 邮件 [peteui51e. COR. cn 
用 户 类 型 


muB) | 


图 2-55 输入 新 用 户 信息 


(3) 添加 完 用户 后 ,执行 生成 该 用 户 数字 证 书 的 操作 。 
在 图 2-54 所 示 的 “RG-CMS 程序 ” 主 界 面 上 ,打开 左 侧 “ 证 书 管理 系统 "菜单 ,选择 加 
和 人 的 新 用 户 , 右 击 出 现 快捷 菜单 ,选择 “生成 证 书 ” 命 令 , 如 图 2-56 Bron. 


初始 化 RGKey 的 PIN 码 
导出 证 书 和 私 钥 


图 2-56 ”为 添加 新 用 户 生成 证 书 


(4) 将 数字 证 书写 人 RG-Key 设备 中 。 

(D 将 RG-Key 设备 先 插入 服务 器 的 USB 口 。 

© 在 “证 书 管理 系统 ” 主 界面 上 ,选中 该 用 户 证 书 并 右 击 , 在 弹出 的 快捷 菜单 中 选择 
“导出 证 书 和 私 钥 ”命令 ,如 图 2-57 所 示 。 

© 选择 “ 写 人 RG-Key” 选 项 。 

在 打开 “导出 证 书 和 私 钥 ” 对 话 框 中 ,选择 导出 证 书 类 型 和 写 入 类 型 ,如 图 2-58 所 示 。 

CD 在 “导出 证 书 类 型 ”对 话 框 中 ,根据 如 图 2-59 所 示 界 面 提示 ,输入 RG-Key 的 PIN 
号 ( 锐 捷 RG-Key 出 厂 的 默认 PIN 号 是 ruijie) 。 

单 击 “ 确 定 ” 按 钮 后 ,系统 开始 写 私 钥 文 件 , 私 钥 写 入 RG-Key 后 ,界面 会 提示 是 否 要 
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图 2-57 导出 证 书 和 私 钥 


[「 选择 导出 证 书 类 型 
G PEM 


C PKCS#12 


C PNS Jr 
casses [ 


xao | 


图 2-58 选择 导出 证 书 类 型 和 写 人 类 型 图 2-59 输入 RG-Key 的 PIN 号 


写 “ 证 书 ” 文 件 , 请 选择 “是 ”, 如 图 2-60 所 示 。 
至 此 ,移动 用 户 的 数字 证 书信 息 已 全 部 写 人 了 RG-Key 设备 ,如 图 2-61 所 示 。 


私 胃 已 经 写 入 RG-Key 中 1 是 否 椅 证 书 也 写 入 RG-Key 中 ? 


[CC e | 


图 2-60 A RG-Key 私 钥 文 件 图 2-61 写 入 RG-Key 私 钥 文件 成 功 


第 六 步 : 配置 远程 接 人 客户 端 。 

(1) 第 一 次 运行 RG-SRA 程序 后 ,如 图 2-62 所 示 。 

(2) 建立 一 个 与 VPN 网 关 的 隧道 连接 。 

在 运行 RG-SRA 程序 主 界面 上 , 单 击 * 新 建 连接 ”按钮 ,建立 一 个 与 VPN 网 关 的 隧道 


连接 ,如 图 2-63 所 示 。 填 写 新 建 VPN 网 关 的 隧道 连接 的 基本 信息 : 连接 标示 、 服 务 器 地 
址 、 认 证 方式 等 ,如 图 2-64 所 示 。 
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x» AE. 


EE EK 
ERO 工具 QD) Hég) «R00 


图 2-62 运行 RG-SRA 程序 


锐 皇 安全 运程 接 入 系统 


ERO IAV Eg) EHW 


连接 标识 : 
服务 器 地 址 ; 
认证 方式 : Radius 第 三 方 认证 x 


口 在 点 面 上 外 了 建 快 捷 方式 
口 开 机 时 自动 局 动 本 连接 


Cw Jm) 


| | 


图 2-63 ”新建 隧道 连接 


锐 证 安全 运程 接 入 系 蒋 
EEO TAW Eq  WRhop 


连接 标识 : 


EN s 


^| 认证 方式 : 数字 证 书 认证 i 
z 认证 


10.1.1.1 


图 2-64 填写 新 建 VPN 网 关 的 隧道 连接 的 基本 信息 
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如 图 2-65 所 示 是 配置 成 功 “ 新 建 VPN 网 关 的 隧道 连接 ”基本 信息 。 

单 击 “ 确 定 ” 按 钮 后 ,显示 建立 完成 的 一 个 与 VPN 网 关 的 隧道 连接 标号 ,如 图 2-66 
所 示 。 


锐 捷 安全 运程 接 入 系统 
ERO IAW Bé 


帮助 00) 
连接 标识 ， = 


与 TPRMA 的 隧道 


服务 器 地 址 ;|10.1.1.1 


认证 方式 : 


RAE | 


Otamotz 
口 开 机 时 自动 启动 本 连接 


Ca J( jJ 


图 2-65 配置 成 功 隧道 连接 


图 2-66 ”建立 完成 VPN 网 关 的 隧道 连接 


G) 将 RG-Key 插 入 PC 的 USB 口 。 

(4) 运行 图 2-66 上 所 示 的 该 隧道 连接 ,建立 VPN 隧道 。 

在 运行 RG-SRA 程序 主 界面 上 单 击 “连接 管理 ”按钮 ,管理 新 建立 VPN 网 关 
的 隧道 连接 , 右 击 打开 快捷 菜单 ,选择 “启动 连接 ?命令 ,启动 新 建 的 隧道 连接 ,如 
图 2-67 Bron 。 

通过 “启动 连接 ”命令 ,启动 新 建 的 隧道 连接 后 ,打开 如 图 2-68 所 示 VPN 远程 连接 对 
话 框 , 单 击 “ 获 得 证 书 ” 按 钮 。 
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ERO IA Hg) WR 00 
sem mm 
修改 连接 修改 连接 如 
mE Bos qi 
NC "| 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 
E 

连接 名 称 : 

与 YPNA 的 院 首 ies M 
服务 器 地 址 : 

10.1.1.1 
认证 方式 -一 一 一 一 

网 关 本 地 认证 [ ERO ] 取消 属性 [0] 


图 2-67 启动 新 建 VPN 网 关 隧 道 连接 


图 2-68 获得 VPN 远程 连接 证 书 


在 打开 “获得 证 书 ” 对 话 框 中 ,在 证 书 导 入 方式 中 ,选择 “从 RG-Key 中 读 取 ”选项 ,如 
图 2-69 所 示 。 
确定 后 ,在 “输入 pin 码 ” 框 中 输入 RG-Key 的 pin 号 ,如 图 2-70 所 示 。 

单 击 “ 连 接 ” 按 钮 后 ,系统 自动 进行 身份 认证 ,并 且 开 始 IKE 的 协商 ,如 图 2-71 所 示 。 
完成 身份 认证 和 隧道 建立 的 过 程 后 ,RG-SRA 程 序 会 自动 缩小 图 标 显 示 在 屏幕 的 右 


E 2.2 构建 远程 访问 IPSec VPNCOUSB-Key 数字 证 书 ) mm 


连接 vPN 


m) 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 


C AERA 


证 书 : 「 ER Lead 
WEN — — LL.) soos. NENNENENEN 


证 书 提示 信息 : 从 RG-Key 中 读 取证 书 。 


[Ce 
(so | [ x | (meo | 
图 2-69 ”选择 获得 证 书 方式 图 2-70 输入 RG-Key 的 pin 号 


锐 捷 安 全 运程 接 和 信 系统 


ERO IAV Eq) 帮助 


ET 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 


认证 登录 成 功 开始 设置 系统 配置 


图 2-71 系统 自动 进行 身份 认证 


下 角 , 如 图 2-72 所 示 。 
选择 SRA 程序 运行 成 功 缩小 图 标 , 右 击 打开 快捷 菜单 ,在 菜单 中 选择 “详细 配置 ”, 可 
以 查看 到 隧道 信息 ,如 图 2-73 所 示 。 


x3 19:35 — 


dj BHL EJ 
[4 2006-11-86 à M3 2006-11-86. 
图 2-72 连接 成 功 缩小 图 标 图 2-73 查看 到 隧道 信息 


如 图 2-74 所 示 信 息 为 查看 到 隧道 连接 信息 ,显示 “可 访问 "表示 隧道 已 建立 成 功 ,如 
果 是 “不 可 访问 " 则 表示 隧道 没有 建立 成 功 。“ 资 源 信息 ”中 显示 的 “虚拟 IP 地 址 "信息 , 表 
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该 IP 为 VPN 网 关 从 虚 地 址 池 中 自动 分 配给 该 PC 的 虚 IP. 
第 七 步 : 验证 测试 。 
在 VPN 网 关 的 管理 界面 也 可 看 到 已 经 建立 成 功 的 隧道 信息 。 
如 图 2-75 所 示 隧 道 启 动 后 ,在 VPN 管理 主 界面 上 的 “隧道 协商 状态 ”栏目 下 ,看 到 
“隧道 的 协商 状态 ”打开 后 “隧道 状态 ”显示 "第 二 阶段 协商 成 功 ”。 


" - 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 
po m 
E 
网 关 


保护 子 网 0 (192. 168. 2. 077192. 168. 2. 255) 呵 访问 ) 
& 8 报 文 过 小 
“可 访问 "表示 隧道 E MEUM 
已 建立 IPSec VPN. 
地 址 类 型 ， 自 动 配置 人 Ap mema 
庶 拟 IP 地 址 ;17216.1.1 表示 隧道 没有 建立 
emaa, O [APH VENA | | riri JE 
| 关 从 庶 地 址 池 


中 自动 分 配给 
该 PC 的 虚 TP， 


图 2-74 显示 隧道 配置 信息 内 容 图 2-75 查看 隧道 协商 信息 


隧道 启动 后 可 以 在 “隧道 协商 状态 ”栏目 下 看 到 隧道 的 协商 状态 “隧道 状态 ”显示 ”第 二 
阶段 协商 成 功 "。VPN 隧道 的 通信 情况 可 以 在 “隧道 协商 状态 ” 栏 中 查看 到 ,如 图 2-76 Bros 


J4&I8 | rots rre Minmi) 


192.189.2.0/24 — [IT2. 16. 1. 1/32. 


隧道 名 称 是 
系统 自动 定义 的 


图 2-76 隧道 协商 状态 


第 八 步 : 进行 隧道 通信 。 
在 远程 用 户 PC 机 上 可 以 成 功 去 访问 服务 器 提供 的 服 ”ss 可 enean 
务 , 或 者 在 PC 上 ping 服务 器 的 IP 地 址 可 以 ping 通 ( 没 有 i 
VPN 隧道 前 ping 会 失败 )。VPN 隧道 的 通信 情况 可 以 在 
VPN 管理 主 界 面 上 “隧道 通信 状态 ”中 查看 到 ,如 图 2-77 
所 示 。 


隧道 启动 后 ,在 打开 的 “隧道 通信 状态 ”栏目 下 看 到 隧 mpr na 
道 的 通信 状态 , “隧道 状态 "显示 “第 二 阶段 协商 成 功 ”。 图 2-77 查看 隧道 通信 信息 
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VPN 隧道 通信 情况 可 以 在 “隧道 通信 状态 ”中 查看 到 ,如 图 2-78 所 示 。 
系统 信息 | Frac | ROSE. MODARRES] narret | 


对 方 
1 m 192. 168.2.0/2« 172.16.1.1/32 


图 2-78 隧道 通信 状态 


【注意 事项 】 

。 实验 环境 地 址 可 以 随意 定义 ,但 请 不 要 使 用 1. 1.1.0 这 个 网 段 的 IP, 因 为 某 些 功 
能 实现 的 需要 ,VPN 系统 内 部 已 占用 该 网 段 的 部 分 IP。 

。 该 实验 中 ,VPN 网 关 的 防火 墙 规 则 为 全 部 开放 。 但 在 实际 的 网 络 环境 中 ,如 果 
VPN 网 关 直 接连 接 Internet 网 络 , 则 一 定 需要 启用 防火 墙 规则 。 

* RG-SRA 是 VPN 客户 端 软 件 程序 ,如 果 PC 上 已 预 装 其 他 厂家 的 VPN 客户 端 程 

FF. ,请 先 印 载 其 他 厂家 的 VPN 客户 端 程序 ,否则 可 能 RG-SRA 无 法 正常 工作 。 

RG-SRA 作为 安全 产品 ,安装 后 会 对 系统 的 网 卡 .端口 .协议 等 方面 有 改动 ,因此 

会 和 部 分 防火 墙 或 者 防 病毒 程序 不 兼容 。 推 荐 用 户 使 用 没有 安装 任何 第 三 方 防 

火 墙 、 防 病毒 程序 的 机 器 来 做 实验 。 


2.3 ”实现 远程 访问 IPSec VPN 的 授权 控制 


【实验 名 称 】 
实现 远程 访问 IPSec VPN 的 授权 控制 。 


【实验 目的 】 
学 习 配 置 远程 访问 IPSec VPN 隧道 ,熟悉 远程 接 人 方式 下 的 VPN 隧道 建立 过 程 。 


【背景 描述 】 
某 员工 在 外 地 出 差 , 需 要 访问 公司 内 网 中 的 服务 器 资源 ,而 这 些 服 务 器 资源 因 安全 性 
考虑 并 不 直接 在 公 网 Internet. 上 开放 ,因此 该 员工 必须 通过 先 和 公司 建立 VPN 隧道 , 获 


得 访问 内 部 资源 的 权力 后 才能 访问 。 
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【需求 分 析 】 

需求 : 解决 出 差 在 外 员工 和 公司 内 网 之 间 . 通 过 Internet 进行 数据 传输 的 安全 问题 。 

分 析 : IPSec VPN 技术 通过 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技 术 、 认 证 技术 等 有 效 
地 保证 了 数据 在 Internet 中 传输 的 安全 性 ,是 目前 最 安全 、 使 用 最 广泛 的 VPN 技术 。 可 
以 通过 建立 远程 访问 的 IPSec VPN 加 密 隧道 ,实现 出 差 员 工 和 公司 之 间 安 全 的 数据 
传输 。 


【实验 拓扑 】 

如 图 2-79 所 示 网 络 拓扑 ,是 某 公司 员工 正在 外 地 出 差 , 需 要 访问 公司 内 网 中 的 服 
务 器 资源 。 由 于 通过 Internet 数据 传输 的 安全 问题 ,公司 内 网 中 服务 器 资源 因 安全 性 
考虑 不 直接 在 公 网 上 开放 。 外 地 远程 访问 公司 的 内 网 中 各 种 网 络 资源 ,通过 Internet 
传输 保密 数据 ,公司 希望 通过 建立 IPSec VPN 隧道 加 密 传输 。 因 此 出 差 在 外 的 员工 必 
须 先 和 公司 建立 VPN 隧道 ,获得 访问 内 部 资源 的 权力 ,通过 IPSec VPN 隧道 实现 和 公 
司 内 网 之 间 安 全 的 数据 传输 。 


ÁN 
sd Internet 
ethi qu FO/0 uix 
AJ Ka 
Router 
服务 器 VPN 网 关 远程 用 户 


图 2-79 远程 访问 IPSec VPN 的 授权 控制 网 络 拓扑 


【实验 设备 】 
RG-WALL VPN 网 关 : 1 台 ; RG-SRA 安全 远程 接 人 系统 软件 : 1 套 ; 路 由 器 : 1 
; PC: 2 台 (1 台 作 为 公司 内 部 服务 器 ,1 台 作 为 远程 接 入 用 户 并 安装 SRA 软件 ) 。 


【预备 知识 

第 二 层 隧道 协议 L2TP 

VPN 安全 的 具体 实现 是 采用 隧道 技术 .将 企业 网 中 保密 的 数据 封装 在 VPN 隧道 中 
进行 传输 。VPN 隧道 协议 可 分 为 第 二 层 隧道 协议 PPTP、L2F、L2TP 和 第 三 层 隧道 协议 
GRE, IPSec。 它 们 本 质 区 别 在 于 用 户 的 数据 包 是 被 封装 在 哪 种 类 型 的 数据 包 中 ,再 在 隧 
道中 传输 。 

1. PPIP 点 对 点 隧道 协议 

PPTP 提供 PPTP 客户 机 和 PPTP 服务 器 之 间 的 加 密 通 信 。PPTP 客户 机 是 指 运行 
了 该 协议 的 PC, 如 启动 该 协议 的 Windows XP. PPTP 服务 器 是 指 运 行 该 协议 的 服务 
器 ,如 启动 该 协议 的 Windows NT 服务 器 。PPTP 可 看 做 是 PPP 协议 的 一 种 扩展 , 它 提 
供 了 一 种 在 Internet 上 建立 多 协议 的 安全 VPN 通信 方式 。 远 端 用 户 能 够 通过 任何 支持 
PPTP 隧道 协议 的 网 络 服务 提供 商 (ISP) 设 备 , 访 问 公司 的 内 部 专用 网 络 。PPTP 客户 机 
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可 采用 拨号 方式 接 人 公共 Internet 网 络 。 拨 号 客户 首先 按 常 规 方式 拨号 到 ISP 的 接 入 服 
务 器 NAS, 建 立 PPP 连接 。 在 此 基础 上 ,客户 再 进行 二 次 拨号 ,建立 到 PPTP 服务 器 的 
连接 ,该 连接 称 为 PPTP 隧道 。 该 PPTP 隧道 实质 上 是 基于 IP 协议 上 的 另 一 个 PPP 连 
接 ,可 以 封装 多 种 协议 数据 ,包括 TCP/IP、IPX 和 NetBEUI。PPTP 隧道 采用 了 基于 
RSA 公司 RC4 的 数据 加 密 方法 ,保证 了 虚拟 连接 通道 的 安全 性 。 对 于 直接 连 到 Internet 
上 的 客户 则 不 需要 第 一 重 PPP 的 拨号 连接 ,可 以 直接 与 PPTP 服务 器 建立 虚拟 通道 。 


2 lL 不 第 二 层 转发 协议 

L2F 是 由 Cisco 公司 提出 的 可 以 在 多 种 传输 媒介 ,如 ATM、 帧 中 继 、IP 网 上 建立 多 
协议 的 全 VPN 通信 方式 。 

远 端 用 户 能 够 通过 任何 类 型 的 用 户 , 采 用 拨号 方式 接 人 公共 OP 网 络 。 建 立 的 过 程 
是 : 首先 按 常 规 方式 拨号 到 ISP 的 接 人 服务 器 NAS, E PPP 连接 ;NAS 根据 用 户 名 等 
信息 ,发 起 第 二 重 连接 , 通 向 HGW 服务 器 。 在 这 整个 的 通信 过 程 ,隧道 的 配置 、 建 立 对 
用 户 是 完全 透明 的 。 

3 LIP 第 二 层 隧 道 协议 

L2TP 结合 了 L2F 和 PPTP 协议 的 优点 ,可 以 让 用 户 从 客户 端 或 访问 服务 器 端 发 起 
VPN 连接 。L2TP 是 把 链 路 层 PPP 帧 封装 在 公共 网 络 ( 如 IP、.ATM , 帧 中 继 ) 中 进行 隧道 
传输 的 封装 协议 。 

目前 用 户 在 通过 拨号 访问 Internet 时 ,多 使 用 动态 方式 得 到 合法 的 IP 地 址 , L2TP 
的 好 处 在 于 支持 多 种 协议 ,用 户 可 以 保留 原 有 的 IPX, Appletalk 协议 提供 地 址 或 IP 地 
址 。L2TP 还 解决 了 多 个 PPP 链 路 的 捆绑 问题 ,PPP 链 路 捆绑 要 求 其 成 员 均 指向 同一 个 
NAS,L2TP 可 以 使 物理 上 连接 到 不 同 NAS 的 PPP 链 路 ,在 逻辑 上 的 终结 点 为 同一 个 物 
理 设备 。L2TP 扩展 了 PPP 连接 ,在 传统 方式 中 用 户 通 过 模拟 电话 线 或 ISDN/ADSL 与 
网 络 访问 服务 器 (NAS) 建 立 一 个 第 二 层 的 连接 ,并 在 其 上 运行 PPP。 其 第 二 层 连 接 的 终 
结 点 和 PPP 会 话 的 终结 点 在 同一 个 设备 上 (如 NAS)。L2TP 作为 PPP 的 扩展 提供 更 强 
的 功能 ,第 二 层 连接 的 终结 点 和 PPP 会 话 的 终结 点 可 以 是 不 同 的 设备 。 

L2TP 二 层 隧 道 协 议 主 要 由 LAC(L2TP Access Concentrator) 和 LNS CL2TP 
Network Server) 构 成 ,LAC 支持 客户 端的 L2TP, 用 于 发 起 呼叫 、 接 收 呼叫 和 建立 隧道 ; 
LNS 是 所 有 隧道 的 终点 。 在 传统 的 PPP 连接 中 ,用 户 拨号 连接 的 终点 是 LAC,L2TP 使 
得 PPP 协议 的 终点 延伸 到 LNS, 

L2TP 二 层 隧道 协议 的 建立 过 程 是 : 

(1) 用 户 通 过 公共 电话 网 或 ADSL 拨号 至 本 地 的 接 入 服务 器 LAC, LAC 接收 呼叫 并 
进行 基本 的 辨别 , 这 一 过 程 可 以 采用 几 种 标准 ,如 域名 、 呼 叫 线路 识别 (CLID) 或 拨号 
ID 业务 (DNIS) 等 。 

(2) 当 用 户 被 确认 为 合法 企业 用 户 时 ,就 建立 一 个 通 向 LNS 的 拨号 VPN 隧道 。 

G) 通过 企业 内 部 的 安全 服务 器 如 TACACS 十 .RADIUS 鉴定 拨号 用 户 身份 。 

(4) NS 与 远程 用 户 交换 PPP 信息 ,分配 IP 地 址 。 
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LNS 可 采用 企业 私有 地 址 (未 注册 的 TP. 地 址 ) 或 服务 提供 商 提 供 的 地 址 。 内 部 源 IP 
地 址 与 目的 地 IP 地 址 都 通过 网 络 服务 提供 商 提 供 的 IP 网 络 ,封装 成 PPP 信息 包 传 送 ， 
企业 私有 地 址 对 提供 者 的 网 络 来 说 是 透明 的 。 

(5) 端 到 端的 数据 传输 。 

+j PPTP 和 L2F 相 比 ,L2TP 的 优点 在 于 提供 了 差错 和 流量 控制 。 作 为 PPP 协议 的 
扩展 协议 ,L2TP 支持 PPP 标准 的 安全 认证 和 检查 特性 CHAP 和 PAP 协议 ,对 用 户 身份 
进行 认证 。L2TP 协议 定义 了 数据 包 的 加 密 传 输 ,对 于 每 个 建立 好 的 隧道 ,生成 一 个 独 一 
无 二 的 随机 钥匙 ,以 便 抵 抗 来 自 网 络 的 欺骗 性 的 攻击 。 


【实验 原理 】 

IPSec 的 主要 作用 是 为 IP 数据 通信 提供 安全 服务 。IPSec 不 是 一 个 单独 协议 , 它 是 
一 套 完整 的 体系 框架 ,包括 AH、ESP 和 IKE 三 个 协议 。IPSec 使 用 多 种 加 密 算法 、 散 列 
算法 、 密 钥 交 换 方法 等 为 TP 数据 流 提 供 安 全 ,提供 数据 的 机 密 性 、 数 据 的 完整 性 、 数 据 源 
认证 和 反 重 放 等 安全 服务 保障 。 

使 用 IPSec 可 以 构建 两 种 不 同 接 入 方式 的 VPN, 即 远程 访问 VPN 和 站 点 到 站 点 
VPN, 本 实验 中 使 用 IPSec 来 构建 远程 访问 VPN 安全 。 

远程 网 络 中 用 户 PC 与 公司 VPN 网 关 , 通 过 IKE 自动 协商 建立 起 远程 访问 IPSec 
VPN 加 密 隧道 ,使 得 远程 用 户 PC 能 安全 地 访问 到 VPN 网 关 所 保护 的 内 网 中 的 服务 器 
资源 。 

远程 用 户 PC 在 和 VPN 网 关 建 立 VPN 隧道 前 ,需要 先 获得 公司 内 网 中 VPN 网 关 的 
身份 验证 许可 ,本 实验 采用 的 用 户 身份 验证 为 口令 验证 方式 ,为 远程 用 户 提供 接 人 认证 。 

远程 用 户 PC 在 通过 内 网 中 VPN 网 关 的 身份 验证 后 ,VPN 网 关 会 自动 将 建立 VPN 
隧道 ( 即 IKE 协商 ) 所 需要 的 配置 下 发 给 远程 用 户 PC, 然 后 远程 用 户 PC 与 VPN 网 关 之 
间 自 动 开 始 IKE 协商 ,协商 成 功 后 VPN 隧道 即 建 立成 功 。 整 个 过 程 系统 自动 完成 ,无 需 
人 为 干预 ,是 免 配置 的 操作 方式 。 


【实验 步骤 】 

第 一 步 : 准备 好 PC 和 服务 器 。 

在 模拟 远程 用 户 PC 上 安装 SRA 远程 接 入 软件 ,安装 完成 后 ,可 能 需要 重新 启动 PC 
方 可 生效 。 

在 模拟 服务 器 PC 上 安装 VPN 管理 软件 。 

具体 的 安装 过 程 不 在 这 里 进行 详 述 ,可 以 查看 产品 的 随机 说 品 书 和 产品 光盘 。 

第 二 步 : 搭建 拓扑 ,配置 IP 地 址 。 

按照 如 图 2-79 所 示 拓 扑 图 ,搭建 实验 拓扑 ,并 根据 如 表 2-3 所 示 编 址 方案 ,配置 实验 
中 各 设备 的 IP 地 址 。 

CD 在 模拟 服务 器 的 超级 终端 上 , 转 到 命令 行 状态 ,在 命令 行 下 配置 VPN 网 关 的 
ethl 口 地 址 ,操作 如 图 2-80 所 示 ( 注 意 : VPN 网 关 出 厂 时 ethl 口 默 认 地 址 为 192. 168. 
1. 1/24). 
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表 2-3 设备 IP 地址 


设 备 接 口 地 址 
ethl 接口 地 址 192. 168. 2. 1 
VPN 网 关 
eth0 接口 地 址 10.1.1.1 
PC 的 IP 地 址 10. 1.2.1 
PC 
PC 网 关 地 址 KLAS 
服务 器 的 IP 地 址 192. 168. 2. 2 
服务 器 
服务 器 网 关 地 址 192. 168. 2. 1 
F0/0 地 址 10.1.1.2 
Router 
F0/1 地 址 10, 1, 2,2 
UB]. PC 及 Router 地 址 的 配置 方式 不 再 详 述 。 
ateh 
Rd 
图 2-80 配置 VPN 网 关 ethl 口 地 址 
(2) 打开 模拟 服务 器 ,启动 服务 器 上 VPN 管理 软件 ,登录 VPN 网 关 , 然 后 直接 双击 


“eth0 接口 "图标 。 
打开 对 话 框 ,配置 etho 口 地 址 ,操作 如 图 2-81 所 示 。 


RROD 设备 管理 四 ) 设备 升级 QD # mop 


E ATE] 


Faa | 
n L 也 
设置 接口 ESO Aen 


f "mise 
3 DHCP 服务 器 
LESS 
局 Fiat 


BED E 
eu) ethl 
RN 
mdi Fg 


直接 双击 eth0 
接口 图 标 
& rcm 


Jp FRIR Raen 
n? 用 户 认证 


图 2-81 配置 VPN 网 关 etho 口 地 址 
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按照 提示 的 要 求 设置 eth0 接口 地 址 ,如 图 2-82 所 示 。 
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第 三 步 : 配置 IPSec VPN 隧道 。 

(1) 进入 模拟 远程 移动 用 户 VPN 隧道 配置 的 界面 。 

打开 模拟 远程 用 户 VPN 客户 端 软件 ,登录 VPN 网 关 的 管理 界面 。 在 VPN 管理 软 
件 主 界面 上 ,打开 “虚拟 专用 网 ”菜单 项 ,选择 IPSec VPN 功能 项 ,双击 “远程 用 户 管理 ” 选 
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链 路 权重 : — [200 (17255, RHERCATUBRGA] 


[fd 2-82 配置 VPN 网 关 etho 口 地址 


项 ,打开 “远程 用 户 管理 "界面 ,操作 如 图 2-83 所 示 。 
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[ET 系统 信息 | RARD | 访问 规则 DERMEE] mana | 
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默认 路 由 直接 在 
外 出 接口 处 配置 


图 2-83 打开 “远程 用 户 管理 ”功能 


(2) 配置 “允许 访问 子 网 ”。 


在 打开 的 “远程 用 户 管理 ”界面 上 选择 “允许 访问 子 网 ”功能 ,配置 允许 访问 子 网 ,操作 


如 图 2-84 所 示 。 


(3) 配置 “本 地 用 户 数 据 库 ”。 


在 打开 的 “远程 用 户 管理 ”界面 上 选择 “本 地 用 户 数据 库 ”, 配置 本 地 用 户 数 据 库 , 如 


图 2-85 所 示 。 
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系统 信息 | RARO | 访问 规则 [EEREURUPESSE. MERE | 


> uw B 


AYAT ii id ii WESA Sam Emih mP 


远程 用 尸 敬 录 成 功 后 ,多 许 访问 的 内 部 子 网 次 源 。 


Faw [19 168 2 .0 
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图 2-84 配置 “允许 访问 子 网 ” 
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hir del 虚 IF 地 址 池 ”用 户 特征 码 ”当前 接 入 用 
E * P 


图 2-85 配置 本 地 用 户 数据 库 


在 打开 的 “本 地 用 户 数据 库 " 管 理 界面 上 选择 “添加 用 户 ” 按 钮 ,配置 本 地 数据 库 中 用 
户 信息 : 用 户 名 ,口令 和 登录 权限 ,操作 如 图 2-86 所 示 。 
系统 信息 BRAPSEE| ixi a Pen | 


n E m B Q 
添加 用 户 HPAP REAP 导入 用 户 列 表 。 导出 用 尸 列表 
APE APOS AXE | 


本 地 用 户 数据 库 
0TP 认 证 和 PAP 认 证 所 用 的 用 户 数 据 库 。 
用户 信息 一 一 一 一 一 一 一 一 一 一 一 一 


BPEQ. Re 
menso: pe 
müneg. [ee 


户 权限 
C 允 活用 户 登录 


C 禁止 用 户 登 录 


[ze] [px] 


图 2-86 配置 本 地 数据 库 中 用 户 信息 
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在 图 2-86 所 示 的 “本 地 用 户 数据 库 ” 界 面 上 单 击 “ 用 户 生 效 ” 按 钮 ,让 配置 的 用 户 信息 
生效 (注意 : 添加 完 用 户 后 一 定 要 单 击 “ 用 户 生效 ”按钮 ,否则 新 添加 的 用 户 依然 不 可 使 
Hio. 如 图 2-87、 图 2-88 所 示 。 


系统 信息 UEHRSPEUENE| iP | 
ñ D D G 

生效 | 。 添加 用 户 BRP SEAP SAMPAR SHAPIR 

T HP& APOS AAE 

test eA y AA 


图 2-87 让 配置 的 用 户 信息 生效 (1) 


B ñ $ 3m a a 
用 户 生效 添加 用 户 删除 用 户 REAP 导入 用 户 列表 ”导出 用 户 列表 
序号 “| 用 户 权 限 | 用 户 名 MAPOS | 有 效 否 | 

week f 


test 


有 效 


H 立即 生效 成 功 。 


图 2-88 让 配置 的 用 户 信息 生效 (2) 


(4) 配置 “ 虚 IP 地 址 池 ”。 
在 打开 图 2-85 “远程 用 户 管理 ?界面 上 配置 “ 虚 IP 地 址 池 ?” 信 息 ， 如 图 2-89 所 示 。 


系统 信息 | 本 地 用 户 数据 库 HEEBPEE| 

s g 9 g E 5 
Age amis amm UTSE AMER [eraua| RBS SMEA 
网 器 务 器 E * P 


图 2-89 ”配置 “ 虚 IP 地 址 池 ? 信 息 (1) 


在 打开 “ 虚 IP 地 址 池 " 管 理 界面 上 选择 “添加 ”、“ 删 除 ”、“ 编 辑 ” 图 标 ,配置 “ 子 网 地 
址 、 连 续 地 址 ”信息 , 如 图 2-90 所 示 。 

注意 : 分 配 PC 的 虚拟 IP 地 址 , 既 可 以 是 定义 一 个 地 址 池 , 由 VPN 网 关 自 动 分 配 ,也 
可 以 是 管理 员 一 个 IP 对 应 一 个 用 户 的 分 配 。 本 实验 选择 地 址 池 方 式 , 由 系统 自动 分 配 ， 
并 且 选 择 定义 “ 子 网 地 址 ”的 地 址 池 。 

虚 IP 是 网 络 管理 员 分 配给 远程 移动 用 户 的 IP, 表 示 只 有 拥有 该 IP 的 PC 才能 获得 
保密 企业 网 内 部 的 访问 权限 。 因 此 ,管理 员 设 置 的 虚 IP 一 定 不 要 与 远程 PC 的 IP, 以 及 
网 络 内 部 的 IP 发 生 冲 突 , 和 否则 远程 PC 在 和 VPN 网 关 建 立 隧道 后 , 因 地 址 冲突 的 问题 ， 
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系统 信息 | 本 地 用 户 数据 库 | 远程 用 户 管理 DEXPDIONSJ 


厂 对 三 rz 分 配 表 之 外 的 用 户 不 自动 分 配 虚 IF 


"n wd m d 
清空 导入 — St 打印 


图 2-90 配置 “ 虚 IP 地 址 池 ” 信 息 (2) 


也 造成 无 法 访问 局 域 网 内 部 的 服务 器 。 本 实验 中 虚 IP 地 址 池 选 择 一 个 完全 没有 使 用 的 
网 段 。 如 图 2-91 所 示 ,在 打开 “ 虚 IP 地 址 池 ? 管 理 界面 上 选择 * 添 加” 图标, 配置 子 网 地 址 
信息 。 


系统 信息 | 本 地 用 户 数据 库 | ximo ETARE) 
[d 


图 2-91 配置 添加 子 网 地 址 信息 (1) 


如 图 2-92 所 示 ,为 添加 成 功 的 网 地 址 信息 。 


系统 信息 | 本 地 用 户 数据 库 | 远程 用 户 管理 ETARE] 
虚 IP 地 址 池 


ñ mm p 
mm — Me e ES 


172. 16.1.0 255. 255. 255. 0 子 网 地 址 


图 2-92 配置 添加 子 网 地 址 信息 (2) 


(5) 配置 “用 户 特 征 码 表 ”。 
在 打开 的 “远程 用 户 管理 ?界面 上 配置 “用 户 特征 码 表 ”, 如 图 2-93 所 示 。 
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FARR | 本 地 用 户 数 据 库 [生得 用 中 生理 
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图 2-93 配置 “用 户 特征 码 表 ” 信 息 


打开 “用 户 特 征 码 表 ” 图 标 , 单 击 “ 允 许 接 入 ” 单 选 按钮 ,分 配 用 户 的 接 入 权限 ,如 图 2-94 
所 示 。 


系统 信息 | 本 地 用 户 数据 库 | 远程 用 户 管理 [RIPIAEIISEERE] 


ò à on ù B DB 
mon 删除 编辑 清空 导入 导出 


[不 在 表 中 的 用 户 接 入 策略 
个 禁止 接 入 


fe 


图 2-94 配置 用 户 接 入 策略 


配置 说 明 :“ 用 户 特 征 码 表 ?为 需要 将 远程 PC 的 硬件 和 分 配给 用 户 的 身份 信息 绑 定 
需求 而 设计 。 如 果 选 择 " 人 允许 接 人 并 自动 绑 定 ?功能 , 则 VPN 网 关 会 将 远程 用 户 的 PC fii 
件 特征 码 与 该 用 户 的 身份 认证 信息 相互 绑 定 , 绑 定 后 该 用 户 将 无 法 用 自己 的 身份 信息 再 
在 其 他 PC 设备 上 建立 VPN 隧道 。 

本 实验 中 既 可 以 选择 “允许 接 入 ”, 也 可 以 选择 “允许 接 入 并 自动 绑 定 ”。 系 统 默 认 配 
置 是 “禁止 接 入 ”。 图 2-94 所 示 选 择 的 是 “允许 接 入 ”, 这 表示 该 用 户 的 身份 信息 不 会 和 其 
使 用 的 PC 硬件 绑 定 。 此 次 实验 ,“ 远 程 用 户 管 理 ” 界 面 的 其 他 配置 项 ,例如 ,“ 内 部 DNS 
服务 器 ”“ 内 部 WINS 服务 器 *“ 认 证 参数 ”, 用 户 可 以 根据 实际 需要 选择 设置 。 但 本 实 
验 因为 不 涉及 这 些 应 用 , 故 不 需要 进行 设置 。 

第 四 步 : 配置 防火 墙 规 则 。 

OD 定义 对 象 。 

O 定义 IP 地 址 。 登 录 VPN 网 关 的 管理 界面 ,在 VPN 
管理 软件 主 界面 上 ,选择 左 侧 树 形 列表 菜单 ,进入 “防火 墙 " 一 
“对 象 管理 ”>*“IP 地 址 对 象 "界面 .如 图 2-95 所 示 。 

打开 “IP 地 址 对 象 ” 后 ,出 现 “ 对 象 配置 "管理 界面 ,选择 
“添加 对 象 ”按钮 ,在 打开 的 对 话 框 中 . 命名 为 “出 差 人 员 ” 对 
象 名 称 , 如 图 2-96 所 示 。 图 2-95 定义 全 地 址 对 象 
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添加 IP 地 址 管理 对 象 名 称 后 , 单 击 “添加 成 员 ” 按 钮 ,定义 “出 差 人 员 ? 的 IP 地 址 ,如 
图 2-97 所 示 。 


添加 IP 地 址 对 象 成 员 


zane ELLE 


De] » 
添加 对 象 MS 
| 


了 TP 地 址 对 象 


[C FRRO: | 


子 网 大 下风 可 172 16 21 .0 
子 网 掩 码 @@) :| 255 .255 .255 . 0 


图 2-96 添加 IP 地址 管理 对 象 名 称 图 2-97 定义 出 差 和 人 员 的 TP 地址 


继续 打开 “对 象 配 置 " 界 面 , 单 击 “ 添 加 对 象 " 按 钮 ,在 打开 的 对 话 框 中 命名 为 “服务 器 ” 
对 象 名 称 , 如 图 2-98 所 示 。 

添加 IP 地 址 管理 对 象 名 称 后 , 单 击 “添加 成 员 ” 按 钮 ,定义 “服务 器 "对象 的 IP 地 址 ， 
如 图 2-99 所 示 。 


添加 IP 地 址 对 象 成 员 
对 象 名 称 [655 
三 单机 地 址 成 员 W: 


主机 地 址 办) | 192 . 168 . 2 . d 


[C 连 续 地 址 成 员 O: 
起 始 地 址 QU: 
fup Œ): 

[C FRRO: — — — 
子 网 地 址 Q0: 

子 网 掩 码 QD: 


图 2-98 继续 添加 IP 地 址 管理 对 象 名 称 图 2-99 定义 服务 器 对 象 的 IP 地 址 


© 定义 网 络 服务 对 象 。 在 VPN 管理 软件 主 界面 上 ,选择 左 侧 树 形 列表 菜单 ,进入 
“防火 墙 ">“ 对 象 管 理 ”>“ 网 络 服务 对 象 ” 界 面 ,如 图 2-100 所 示 。 

在 启动 “对 象 配 置 ” 界面 中 ,可 以 自行 对 具体 的 网 络 服务 进行 定义 ;在 这 里 使 用 系统 
默认 的 “常用 服务 ”, 如 图 2-101 所 示 。 
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接口 地 址 对 象 添加 对 象 。 BEOSR 添加 成 员 MEA SEMA 
EHE MARRE — — — — —— 3 
BA 
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x 访问 规则 
à sem 


户 姐 对 象 


图 2-100 定义 网 络 服务 对 象 图 2-101 定义 服务 对 象 常用 服务 功能 


© 定义 时 间 对 象 。 在 VPN 管理 软件 主 界面 上 ,选择 左 侧 树 形 列表 菜单 ,选择 进入 
“防火 墙 " 一 “对 象 管理 ”>“ 时 间 对 象 ” 界 面 ,如 图 2-102 所 示 。 

在 启动 “对 象 配 置 ” 界面 中 ,在 "时间 对 象 ”一 栏 ,默认 的 有 如 下 三 种 时 间 对 象 ,也 可 以 
自行 定义 其 他 一 些 时 间 段 ,如 图 2-103 一 图 2-105 所 示 。 


B- RONE 


e Ha 虚拟 专用 同 
o- 防火 墙 n x m 
ss PeR x EMRA BERA REMA 
SN “所 有 时 间 "对象 成 员 
接口 地 址 对 象 = 
区 域 对 象 日 一 二 三 四 五 六 00:00 
X neue 
[qoot 
图 2-102 定义 时 间 对 象 图 2-103 默认 所 有 三 种 时 间 对 象 
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Kd 2-104 默认 工作 时 间 对 象 


zane ELLE 


图 2-105 默认 休息 时 间 对 象 


m——X 2.3 实现 远程 访问 IPSec VPN 的 授权 控制 


(2) 定义 规则 。 


«E AG 

做 好 以 上 对 象 定义 以 后 ,就 可 以 进入 规则 定义 界面 。 pen 

在 VPN 管理 软件 主 界面 上 打开 左 侧 树 形 列表 菜单 ,选择 B pis 
“防火 墙 " 一 “访问 规则 ”界面 ,如 图 2-106 Bros < SE 

在 打开 的 “访问 规则 ”界面 单 击 “ 添 加 规则 ”按钮 ,启动 “新 建 i 
防火 墙 规则 ”对 话 框 ,定义 如 图 2-107 所 示 防 火 墙 规则 。 ee 

继续 打开 “访问 规则 ”定义 界面 , 单 击 “ 编 辑 规则 ”按钮 ,启动 Ea 
“编辑 防火 墙 规则 ?对 话 框 ,如 图 2-108 所 示 。 


系统 信息 | NAME 


AUER | 源 对 


规则 名 称 w | 
sanu sm 位 Eoh zl 


-ER 
Él Bei 


1 Aulo €.) 
2 Fobiadl $ t.S 


asma: [rr zl ZET: [rr - 
AMO: | 任意 地 址 z] ZMW: | 任意 地 址 T 


网 络 服务 QU: | 所 有 服务 z|) maw: | 所 有 时 间 z 


图 2-107 “新 建 防火 墙 规则 ?对 话 框 


在 启动 的 “编辑 防火 墙 规则 ?对 话 框 显 示 规 则 定义 窗口 ,可 以 分 别 对 * 源 对 象 "“ 目 的 
对 象 "“ 网 络 服务 "“ 工 作 时 间 ? 进 行 定 义 。 编 辑 完成 防火 墙 规则 后 , 单 击 * 确 定 ” 按 钮 以 


后 , 即 可 完成 规则 编辑 ,如 图 2-109 所 示 。 


新 添加 的 规则 默认 位 于 规则 列表 最 后 一 条 ,而 且 位 于 “允许 所 有 ”和 “拒绝 所 有 ”两 条 
规则 之 后 。 按 照 规则 列表 由 上 至 下 匹配 的 顺序 来 看 ,新 规则 在 这 样 的 排列 下 不 会 生效 ,所 
以 ,要 使 规则 生效 ,必须 把 它 移动 到 最 顶端, 使 其 最 优先 执行 .如 图 2-110 所 示 。 


以 上 步骤 完成 后 ,防火 墙 规则 定义 部 分 完成 。 
第 五 步 : 配置 远程 接 人 客户 端 。 


(1) 第 一 次 运行 RG-SRA 程序 后 ,打开 如 图 2-111 所 示 窗 口 。 


(2) 建立 一 个 与 VPN 网 关 的 隧道 连接 。 


在 运行 RG-SRA 程序 主 界面 上 单 击 “新 建 连接 ”按钮 ,建立 一 个 与 VPN 网 关 的 隧道 


连接 ,如 图 2-112 所 示 。 
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n sm x e 
添加 规则 ”编辑 规则 。 删除 规则 — 规则 上 移 s 
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图 2-109 完成 规则 编辑 


系统 信息 | xim EZELUE 


a m X e 号 
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2.3 实现 远程 访问 IPSec VPN 的 授权 控制 


锐 捷 安 全 远程 接 入 系统 


ERO IAW Eg) 帮助 00 


连接 管理 


新 建 连接 


详细 信息 


图 2-111 运行 RG-SRA 程序 


锐 捷 安 全 远程 接 入 系统 


连接 CC) IA ASM 帮助 00) 


连接 管理 
添加 新 连接 
新 建 连接 
连接 标识 : 
认证 方式 : Radius 第 三 方 认 证 -| 
口 在 桌面 上 创建 快捷 方式 
口 开 机 时 自动 启动 本 连接 


Ca ] [ws 


Eg | 


图 2-112 ”新 建 VPN 网 关 的 隧道 连接 

在 “添加 新 连接 ”对 话 框 中 ,填写 新 建 VPN 网 关 的 隧道 连接 的 基本 信息 : 连接 标示 、 
服务 器 地 址 .认证 方式 等 ,如 图 2-113 所 示 。 

如 图 2-114 所 示 是 配置 成 功 “ 新 建 VPN 网 关 的 隧道 连接 ”基本 信息 。 单 击 “ 确 定 ” 按 
钮 后 ,显示 建立 完成 的 一 个 与 VPN 网 关 的 隧道 连接 标号 ,如 图 2-115 所 示 。 

(3) 运行 该 隧道 连接 ,建立 VPN 隧道 。 

在 运行 RG-SRA 程序 主 界面 上 , 单 击 * 连 接管 理 ? 按 钮 ,管理 新 建立 VPN 网 关 的 隧道 
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锐 梁 安全 远程 按 入 系 撤 
ERO IRO Hé) Bop 


连接 管理 


可 以 随意 定义 


填写 VPN 网 关 
的 eth0 口 地 址 


详细 信息 


10.1.1.1 


" [sadius 第 三 方 认证 到 
该 实验 选择 的 是 Radius S — EAE 
网 关 本 地 认证 Css Lope uL AE 


口 开 机 时 自动 局 


图 2-113 ”配置 新 建 隧道 连接 的 基本 信息 (1) 


添加 新 连接 


连接 标识 : [E vena ROBES 
服务 器 地 址 ， [0.1.1.1 


认证 方式 ， — [BESEHSAE- +) 
Ls Eos 
口 开机 时 自动 启动 本 连接 


Cae jJ (m ] 


图 2-114 Be PUE SE BG E DE MEA (ii E. C22 


锐 捷 安全 运程 接 入 系统 


ERO IAV BEW 帮助 0D 


图 2-115 ”建立 完成 VPN 网 关 的 隧道 连接 


连接 , 右 击 打开 快捷 菜单 ,选择 “启动 连接 ”命令 ,启动 新 建 的 隧道 连接 ,如 图 2-116 所 示 。 
通过 “启动 连接 ”命令 ,启动 新 建 的 隧道 连接 后 ,打开 如 图 2-117 所 示 VPN 连接 对 话 

框 ,输入 身份 认证 所 必需 的 账号 密码, 即 在 VPN 网 关上 添加 的 用 户 。 
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锐 捷 安全 远程 接 入 系统 
ERO IAV BEY 帮助 0D 
连接 管理 E] 
新 建 连接 
修改 连接 
删除 连接 T. 
"| 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 
详细 信息 日 ES 
连接 名 称 : mesu Kec — — — — — — 
与 PMA 的 随 首 EE ———————— 
服务 器 地 址 ; a c 
10.1.11 
认证 方式 : f 
网 关 本 地 认证 ERO 取消 | _ RO) ] 
图 2-116 局 动 新 建 的 隧道 连接 


图 2-117 登录 VPN 远程 安全 接 人 系统 


输入 身份 认证 信息 后 , 单 击 “ 连 接 ” 按 钮 后 ,系统 自动 进行 身份 认证 ,并 且 开 始 IKE 协 
商 ,如 图 2-118 所 示 。 


锐 捷 安全 运程 接 入 系统 


ERO IAW RSW WR 


连接 管理 


服务 器 地 址 : 
10.1.1.1 
认证 方式 : 


图 2-118 系统 自动 进行 身份 认证 


系统 自动 进行 身份 认证 后 ,与 远程 隧道 连接 建立 成 功 ,SRA 程序 会 自动 缩小 图 标 显 
示 在 屏幕 的 右 下 角 , 如 图 2-119 所 示 。 


选择 SRA 程序 运行 成 功 缩小 图 标 , 右 击 打开 快捷 菜单 ,在 菜单 中 选择 “详细 配置 命 
令 , 可 以 查看 到 隧道 信息 ,如 图 2-120 所 示 。 


重新 登录 M 


c wes |) 
| 关于 RG-SRA 
| 退出 


“oni 


E 2006-11-8. 


图 2-119 SRA 程序 运行 成 功 缩小 图 标 图 2-120 ”查看 到 隧道 信息 
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如 图 2-121 所 示 信 息 为 查看 到 的 隧道 信息 ,显示 “可 访问 ”表示 隧道 已 建立 成 功 , 如 果 
是 “不 可 访问 ”" 则 表示 隧道 没有 建立 成 功 。“ 资 源 信息 ”中 显示 的 “虚拟 IP 地 址 ”信息 ,表示 
该 IP 为 VPN 网 关 从 虚 地 址 池 中 自动 分 配给 该 PC 的 虚 IP。 

第 六 步 : 验证 测试 。 

在 VPN 网 关 的 管理 界面 也 可 看 到 已 经 建立 成 功 的 隧道 信息 。 

隧道 启动 后 可 以 在 “隧道 协商 状态 "栏目 下 看 到 隧道 的 协商 状态 ,打开 “隧道 状态 ”项 ， 
显示 “第 二 阶段 协商 成 功 ”, 如 图 2-122 所 示 。 


“可 访问 "表示 隧 
道 忆 建立 成 功 ,如 
果 是 "不 可 访问 " 
则 表示 隆 道 设 有 
建立 成 功 。 


该 耳 为 VPN 网 关 从 
虚 地 址 池 中 上 自动 分 配 
RIA PC HRE TP 。 


= 


[资源 信息 - 


地 址 类 型 ， 自 动 配置 
虚拟 IF 地 址 ，1721611 
DNS 服务 器 ， 
WINS 服 务 器 : 
图 2-121 显示 隧道 配置 信息 内 容 图 2-122 查看 隧道 协商 信息 (1) 


隧道 启动 后 可 以 在 "隧道 协商 状态 " 栏 下 看 到 隧道 协商 状态 ,“ 隧 道 状态 "显示 “第 二 阶 
段 协 商 成 功 "。VPN 隧道 通信 情况 可 以 在 “隧道 协商 状态 ”中 查看 ,如 图 2-123 所 示 。 


GR | ise cane [Rh | 


隧道 名 称 是 
系统 自动 定义 的 


图 2-123 查看 隧道 协商 信息 (2) 


第 七 步 : 进行 隧道 通信 。 

在 远程 用 户 PC 上 访问 服务 器 提供 的 服务 可 以 成 功 ,或 者 在 PC 上 ping 服务 器 的 IP 
地 址 ,可 以 ping 通 ( 没 有 VPN 隧道 前 ping 会 失败 )。 但 是 由 于 之 前 配置 了 访问 规则 ,所 
以 远程 用 户 PC 将 不 能 访问 公司 内 部 网 络 的 其 他 主机 和 服务 ,只 能 访问 地 址 为 192. 168. 
2.2 的 服务 器 。VPN 隧道 的 通信 情况 可 以 在 “隧道 通信 状态 ”中 查看 到 ,如 图 2-124 所 示 。 
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0 


Z 虚拟 专用 同 
E Bi zrsec YPN 
(C 远程 用 户 管理 
áb BERE 


图 2-124 查看 隧道 通信 信息 (1) 
隧道 启动 后 ,可 以 在 “隧道 通信 状态 ” 栏 下 看 到 隧道 的 通信 状态 ,打开 “隧道 通信 状态 ” 
可 以 显示 “第 二 阶段 协商 成 功 ”对话 框 。VPN 隧道 的 通信 情况 可 以 在 “隧道 通信 状态 ”中 
查看 到 ,如 图 2-125 所 示 。 


AIRRA | RARO | RO NRONTIUSES | parois | 
NAFA | 发 闫 成 功 包 数 。 | XiXMON JOUETS 


192. 168. 1.0/24 192. 168.2.0/24 14 0 


图 2-125 查看 隧道 通信 信息 (2) 


【注意 事项 】 

。 实验 环境 地 址 可 以 随意 定义 ,但 请 不 要 使 用 1. 1.1.0 这 个 网 段 的 IP, 因 为 某 些 功 
能 实现 的 需要 ,VPN 系统 内 部 已 占用 该 网 段 的 部 分 IP。 

。 该 实验 中 ,VPN 网 关 的 防火 墙 规则 为 全 部 开放 。 但 在 实际 的 网 络 环境 中 ,如 果 
VPN 网 关 直 接连 接 Internet 网 络 , 则 一 定 需要 启用 防火 墙 规则 。 

* RG-SRA 是 VPN 客户 端 软件 程序 ,如 果 PC 机 上 已 预 装 其 他 厂家 的 VPN 客户 端 
程序 ,请 先 印 载 其 他 厂家 的 VPN 客户 端 程序 ,否则 可 能 RG-SRA 无 法 正常 工作 。 

。 RG-SRA 作为 安全 产品 ,安装 后 会 对 系统 的 网 卡 、 端 口 .协议 等 方面 有 改动 ,因此 
会 和 部 分 防火 墙 或 者 防 病毒 程序 不 兼容 。 推 荐 用 户 使 用 没有 安装 任何 第 三 方 防 
火 墙 . 防 病毒 程序 的 机 器 来 做 实验 。 
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VPN 虚拟 专用 网 安全 实践 教程 


"T 3 . 
VPN 专用 设备 Site-to-Site 
的 安全 


3.31 ”构建 站 点 到 站 点 IPSec VPN( 预 共享 密 钥 ) 


【实验 名 称 】 
构建 站 点 到 站 点 IPSec VPN( 预 共享 密 钥 )。 


【实验 目的 】 
学 习 配 置 站 点 到 站 点 (Site-to-Site) 的 IPSec VPN 隧道 ,加 深 对 IPSec 的 理解 。 


【背景 描述 】 

北京 的 某 公 司 在 上 海 设立 分 公司 ,分 公司 要 远程 访问 总 公司 内 网 中 的 各 种 网 络 资源 ， 
例如 ,CRM RR FTP 服务 器 等 。 由 于 在 Internet. 上 传输 数据 本 身 存在 安全 隐患 ,公司 
希望 通过 IPSec VPN 技术 实现 数据 的 安全 传输 。 


【需求 分 析 】 

需求 : 解决 上 海 分 公司 和 北京 总 公司 之 间 通 过 Internet 进行 数据 传输 的 安全 问题 。 

分 析 : IPSec VPN 技术 通过 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技术 、 认 证 技术 等 有 效 地 
保证 了 数据 在 Internet 传输 的 安全 性 ,是 目前 最 安全 、 使 用 最 广泛 的 VPN 技术 。 通 过 建立 
IPSec VPN 的 加 密 隧 道 ,实现 分 公司 和 总 公司 之 间 的 安全 的 数据 传输 。 

【实验 拓扑 】 

如 图 3-1 所 示 网 络 拓扑 ,是 某 公 司 为 解决 上 海 分 公司 和 北京 总 公司 之 间 通 过 Internet 


进行 数据 传输 的 安全 问题 。 分 公司 要 远程 访问 总 公司 内 网 中 的 各 种 网 络 资源 ,需要 在 
Internet 上 传输 数据 ,公司 希望 通过 配置 站 点 到 站 点 (Site-to-Site) 的 IPSec VPN 隧道 技 


术 ,实现 数据 在 Internet 上 的 安全 传输 。 
eth0 I ethl $- 
à SS 


VPN AŽ B. PC2 


Tnternet 


Router 
PCI 


图 3-1 构建 站 点 到 站 点 IPSec VPN 


mu 3.1 构建 站 点 到 站 点 IPSec VPN( 预 共享 密 钥 ) m 


【实验 设备 】 
RG-WALL VPN 网 关 : 2 &; PC: 2 台 ; 路 由 器 : 1 台 。 


【预备 知识 】 

IKE 工作 原理 

IPSec 协议 是 基于 IP 网 络 ( 包 括 Intranet, Extranet 和 Internet) ,由 IETF 正式 定制 
的 开放 的 IP 安全 标准 ,IPSec 提供 三 种 不 同 的 形式 保护 通过 公有 或 私有 TP 网 络 传送 数据 
的 安全 性 。 

。 认证 : 作用 是 确定 所 接收 的 数据 与 所 发 送 数据 的 一 致 性 ,同时 确定 申请 发 送 者 在 

实际 发 送 中 的 真实 身份 。 

。 数据 完整 : 作用 是 保证 数据 从 源 发 地 到 目的 地 的 传送 过 程 中 ,没有 任何 不 可 检测 

的 数据 丢失 与 改变 。 
。 机 密 性 : 作用 是 使 相应 的 接收 者 能 获取 发 送 的 真正 内 容 , 无 意 获 取 数 据 的 接收 者 
无 法 获知 数据 的 真正 内 容 。 

IPSec 协议 由 三 个 基本 要 素来 提供 以 上 三 种 保护 形式 : 认证 协议 头 (AH) 安全 加 载 
封装 (ESP) 和 互联 网 密 匙 管理 协议 (IKMP)。 认 证 协议 头 和 安全 加 载 封 装 可 以 通过 分 开 
或 组 合 使 用 来 达到 所 希望 的 保护 等 级 。 认 证 协议 头 (AH) 是 在 所 有 数据 包头 加 入 一 个 密 
码 。 安 全 加 载 封 装 (ESP) 通 过 对 数据 包 的 全 部 数据 和 加 载 内 容 进 行 全 加 密 来 严格 保证 传 
输 信 息 的 机 密 性 ,这 样 可 以 避免 其 他 用 户 通过 监听 来 打开 信息 内 容 , 保 证 只 有 受信 任 的 用 
户 拥 有 密 匙 才能 打开 内 容 。 

IPSec 协议 提供 的 安全 服务 ,需要 使 用 共享 密 钥 来 保证 数据 验证 以 及 数据 的 机 密 性 。 
如 果 采 用 人 工 增加 密 钥 的 方法 ,也 可 实现 基本 IPSec 协议 间 的 互通 性 ,但 其 在 使 用 上 难以 
扩展 。 因 此 需要 定义 一 种 标准 的 方法 ,用 以 动态 地 验证 IPSec 参与 各 方 的 身份 ,协商 安全 
服务 以 及 生成 共享 密 钥 等 ,这 种 密 钥 管理 协议 称 为 “Internet 密 钥 交换 ”(Internet Key 
Exchange. IKE). Internet 密 钥 交 换 协 议 是 用 于 交换 和 管理 在 VPN 中 使 用 的 加 密 密 钥 ， 
协商 AH 和 ESP 协议 所 使 用 的 密码 算法 ,使 用 了 UPD 协议 来 交换 密 钥 和 其 他 安全 信息 ， 
并 将 算法 所 需 的 密 钥 放 在 合适 的 位 置 。 

IPSec 提供 的 安全 服务 , 当 应 用 环境 规模 较 小 时 ,可 以 用 手工 配置 ; 当 应 用 环境 规模 
较 大 、 参 与 的 节点 位 置 不 固定 时 ,IKE 可 自动 地 为 参与 通信 的 实体 协商 ,并 对 安全 关联 库 
维护 ,保障 通信 安全 。 

IKE 协议 属于 一 种 混合 型 协议 ,由 Internet 安全 关联 密 钥 管 理 协议 (ISAKMP) 和 两 
种 密 钥 交换 协议 (OAKLEY 与 SKEME) 组 成 。IKE 创建 在 由 ISAKMP 定义 的 框架 上 ， 
沿用 了 OAKLEY 的 密 钥 交换 模式 以 及 SKEME 的 共享 和 密 钥 更 新 技术 ,定义 了 自己 的 
两 种 密 钥 交换 方式 。 

为 确保 通过 Internet 网 使 用 IPSec 协议 安全 通信 ,Internet 密 钥 交换 IKE 协议 将 执 
行 双 阶段 协商 工作 。IKE 使 用 了 两 个 阶段 的 ISAKMP 密 钥 管理 协议 : 第 一 阶段 ,协商 创 
建 一 个 通信 信道 CIKE SAO ,并 对 该 信道 进行 验证 ,为 双方 进一步 的 IKE 通信 提供 机 密 
性 、 消 息 完整 性 以 及 消息 源 验证 服务 ;第 二 阶段 ,使 用 已 建立 的 IKE SA 建立 IPSec SA, 
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IKE 共 定 义 两 种 交换 。 第 一 阶段 有 两 种 模式 交换 : 对 身份 进行 保护 “ 主 模 式 ” 交 换 以 
及 根据 基本 ISAKMP 文档 制订 “野蛮 模式 ”交换 。 第 二 阶段 交换 使 用 “快速 模式 ”交换 。 
IKE 定义 了 两 种 信息 交换 : @ 为 通信 各 方 间 协 商 一 个 Diffie Hellman 组 类 型 “新 组 模式 ” 
交换 ; OE IKE 通信 双方 间 传送 错误 及 状态 消息 的 ISAKMP 信息 交换 。 

Internet 密 钥 交 换 IKE 解决 了 在 不 安全 的 网 络 环境 (如 Internet) 中 安全 地 建立 或 更 
新 共享 密 钥 的 问题 。IKE 是 非常 通用 的 协议 ,不 仅 可 为 IPSec 协议 协商 安全 关联 ,而 且 可 
以 为 SNMPv3、RIPv2、OSPFv2 等 任何 要 求 保密 的 协议 协商 安全 参数 。 


【实验 原理 】 

IPSec 协议 的 主要 作用 是 为 IP 数据 通信 提供 安全 服务 。IPSec 不 是 一 个 单独 协议 ， 
它 是 一 套 完整 的 体系 框架 ,包括 AH、ESP 和 IKE 三 个 协议 。IPSec 使 用 了 多 种 加 密 算 
法 , 散 列 算法 、 密 钥 交 换 方法 等 为 TP 数据 流 提 供 安 全 保障 ,提供 数据 的 机 密 性 ,数据 的 完 
整 性 .数据 源 认证 和 反 重 放 等 安全 服务 。 

IKE 为 IPSec 协议 提供 安全 协商 ,可 以 使 用 两 种 对 等 体 认证 方式 : 预 共享 密 钥 和 数 
字 签 名 (或 称 数字 证 书 ) ,本 实验 使 用 预 共享 密 钥 认证 方式 。 


【实验 步骤 】 

第 一 步 : 准备 好 PC。 

准备 好 PC1 和 PC2 后 , 先 在 PC1 和 PC2 上 安装 VPN 管理 软件 。 具 体 的 安装 步骤 不 
在 这 里 详 述 ,查看 VPN 产品 的 随机 说 明 书 和 产品 光盘 。 

第 二 步 : 搭建 拓扑 ,配置 IP 地 址 。 

按照 如 图 3-1 所 示 拓 扑 图 ,搭建 实验 拓扑 ,并 根据 如 表 3-1 所 示 编 址 方案 ,配置 各 设 
备 的 IP 地址 。 


表 3-1 设备 IP 地 址 


设 备 接 口 地 h 
ethl 接口 地 址 192.168.1.1 
VPN 网 关 A 
eth0 接口 地 址 10. 1. 1.1 
PCI 的 IP 地 址 192.168. 1.2 
PEI 
PC1 网 关 地 址 192. 168. 1.1 
ethl 口 地 址 192. 168. 2. 1 
VPN NX B 
eth0 口 地 址 10.1.2.1 
PC2 的 IP 地 址 192. 168. 2. 2 
PC2 
PC2 网 关 地 址 192. 168. 2. 1 
F0/0 地 址 10.1.1.2 
Router 
F0/1 地 址 10.1.2.2 


说 明 : PC 及 Router 地 址 的 配置 方式 不 再 详 述 。 
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3.1 构建 站 点 到 站 点 IPSec VPN( 预 共享 密 钥 ) 


CD 如 图 3-2 所 示 ,在 模拟 客户 机 PCT 的 超级 终端 , 转 入 命令 行 状态 ,在 命令 
置 VPN 网 关 A 的 ethl 口 地 址 。 


p 
El 
a 


nter means 255.255.255.0) 


nter means no default gateway 
x, Enter meai NAC Addr: 


图 3-2 命令 行 模式 配置 VPN 网 关 ethl 口 地 址 


(2) 如 图 3-3 所 示 ,在 模拟 客户 机 PCI 上 ,打开 VPN 管理 软件 ,登录 VPN 网 关 A, 然 
后 配置 eth0 口 地 址 。 设 置 如 图 3-4 所 示 etho 口 地 址 。 


FRO 设备 管理 如 REME Q0 * Ro 


i39 S| a a 
ESSI zae En) 


c 4A REE z 
3h 网 桥 设置 E "TM D * 3 a 
um PREX ELT. EH FAR 


Bh, a 
s tu m m 
Cp :NT 管理 eth0 
2, DS 设置 
M) Inns 设置 
3 memes 
Fu FPF? 用 户 管理 
43 kcr 服 务 器 
43 rE 
D 网 站 状态 
o dg Ham 
E ri 管理 
P FRIA 网 结 接口 状态 
s 用 户 认证 : 


图 3-3 配置 etho 口 地 址 (1) 


直接 双击 eth 
接口 图 标 


(3) 如 上 过 程 通过 PC2 的 超级 终端 ,在 命令 行 下 配置 VPN 网 关 B 的 ethl 口 地 址 ,如 
图 3-5 所 示 。 

(D 通过 PC2 上 的 VPN 管理 软件 登录 VPN 网 关 B, 然 后 配置 etho 口 地 址 ,如 图 3-6 
所 示 。 

设置 如 图 3-7 所 示 etho 口 地 址 。 
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RKO 


C xER 


C 自动 获得 IPt 也 址 


G BERE 
IP Bir: 10 .1 


zRME: [25.25 


C PPPcEHES. 


C 如 入 网 桥 


设备 管理 吧 ) 


| 
HRE: pfo 117255, MERARERA) | 


设备 升级 由 


默认 路 由 直接 在 
外 出 接口 处 配置 


配置 echo 口 地 址 (2) 


* bw 


a 


B 


[ 基本 信息 
A masr 
Q mE 
Fi 网 络 接口 
链 路 保障 
m Ee 路 由 设置 
是 ARE 管理 
E33 
X) nws 设 置 
43 拨号 服 务 器 
f fff 用 户 管理 
33 ncri 238 
E war 设置 
局 iate 
du ERES 
E) rem 


|3,29ia2sB|au 


需要 设置 哪个 接口 
就 双击 该 接口 的 图 标 


Jp REIR 
FP APWE 


网 络 接口 状态 


£3 Aaah 


接口 名 


TS 


图 3-6 


配置 etho 口 地 址 (1) 


mm 3。] 


构建 站 点 到 站 点 IPSec VPN( 预 共享 密 钥 ) 


接口 etho 
[S [WERE | 高 级 选项 | 子 接口 | 
C 无 配置 
C 自动 获得 IP 地 址 
C EIRH 
IP 地 址 : 10 1 2 1 默认 路 由 直接 在 
Jam: [5 5 25. 0 外 出 接口 处 配置 
外 出 网 关 : 10. 1 2:2 
(C PPPoERRES. 
C 加 入 网 桥 
必 足 权重; Poo] (17255; 数值 越 大 权重 越 高 } 


图 3-7 


配置 echo 口 地 址 (2) 


第 三 步 : 配置 VPN 网 关 A 的 IPSec VPN 隧道 。 
CD 进行 设备 配置 ,打开 “虚拟 专用 网 ”中 “隧道 配置 "项 , 单 击 “ 添 加 设备 ”按钮 ,添加 


设备 ,如 图 3-8 所 示 。 


LI 


系统 信息 | 网 络 接口 HERE | 


aü 
done 


5 
出 除 设备 


e 
编辑 设备 。 局 动 所 属 | 


m dB unm ver 


u n P m] 

EHI 
ire P PUN E eE E 
加 secus Msi peso cds pesci 
ig voeem 
dh amm 


图 3-8 添加 IPSec VPN 隧道 设备 


在 打开 的 IPSec VPN 隧道 设备 配置 信息 中 ,选择 设备 名 称 和 共享 密 钥 ,如 图 3-9 


所 示 。 


如 图 3-10 所 示 ,在 隧道 设备 信息 的 


高 级 选项 ”中 配置 图 中 设置 相关 信息 。 
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设备 设置 
| Amtn | 
E -认证 方式 
一 人 meso — — — — — —3À4 
arasam: mas ———— S 123456 
本地 设备 接口 D: [ewo - i cias 
一 一 C 自 定义 标识 
本 地 标识 : e 
[本 地 设备 身份 一 a 
G 作为 客户 端 ) CC 数字 签名 加 
本 地 证 书 标识 
对 方 设备 地 址 : |10.1.2.1 条 配置 
C 作为 服务 器 请 名 ) — 
m FEBORE 
i n. 
Ei | 
mE 


图 3-9 配置 IPSec VPN 隧道 设备 信息 


| 设备 信息 | ANEN | 


协商 尝试 次 数 SA 使 用 时 间 


foris o: J1030 ”GB~3o000) | 。 | sA 使 用 条 间 D: [s 时 到 2 分 钟 ~365 天 ) 


Beam. 


Iv 启动 探测 C) 


图 3-10 配置 IPSec VPN 隧道 设备 高 级 选项 信息 


(2) 在 “隧道 配置 ”选项 中 ,进行 隧道 配置 ,如 图 3-11 所 示 ,选择 添加 的 设备 , 单 击 “ 添 
加 隧道 ”按钮 。 

如 图 3-12 所 示 ,在 添加 的 新 隧道 中 ,为 添加 隧道 配置 隧道 信息 。 

为 添加 的 信息 隧道 配置 “通信 策略 ?信息 ,如 图 3-13 所 示 。 

添加 完 隧 道 后 的 信息 如 图 3-14 所 示 。 
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mm 3。] 


| 选择 刚 添加 的 设备 ， 再 单 
击 “ 添 加 隧道 ”图 标 


La 
HERE 


sam 


RERE BRE 


B 
HGE 


mëäsmw: |i 


mesmo [enas l 

本 地 子 网 一 一 一 一 一 一 一 一 一 一 一 

1 100. 1 . 0 ;要 的 算法 ， 但 要 和 
:B 上 的 配置 保持 一 


iem: [ 255 .255 .255 . 0 
对方 子 网 一 一 一 一 一 一 一 一 一 一 


70A®: |12 -168.2 .0 
dM) | 255 . 255 . 255 . 0 
[ 册 道 协商 参数 一 一 一 一 一 一 一 一 一 一 
Eram): [5 (~5) 

Iv BIBIO 


图 3-12 配置 隧道 信息 


图 3-11 


添加 新 隧道 


Al 
[C DESEHIAC. MDS 
(7) DES3HIAC HA. 
v. SES HIC MDS 
[L 3DESSHIAC SHA 
[7 MISHHIAC mos 
(7| AESTHIAC SHA 


认 了 配置 。 


lg poetas. 
口 元 全 向 前 保密 TS) 


[ee] [ew 


图 3-13 配置 “通信 策略 ”信息 


系统 信息 | 网 络 接口 、 隆 道 也 置 | 


je] 


x 


添加 设备 删除 设备 


3D 
设备 B 


o 


e 
DPI KSAR 


认证 方式 


venas 


Pa 


EPR 


pese 


图 3-14 完成 隧道 配置 信息 
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第 四 步 : 配置 VPN 网 关 B 的 IPSec VPN 隧道 。 
CD 进行 设备 配置 。 打 开 “ 虚 拟 专用 网 ”中 “隧道 配置 "项 , 单 击 “ 添 加 设备 ”按钮 ,添加 
设备 ,如 图 3-15 所 示 。 


Fiaa | Raen MSEE | 
a x m e 

添加 设备 Eee 编辑 设备 SEAE 
ERG Er 


配置 隧道 请 
Hi 


t " E F 
Lui EDeBUH WANDE — Bub5H 
3 cH: 


md ur ve 


图 3-15 添加 IPSec VPN 隧道 设备 
在 IPSec VPN 隧道 设备 信息 中 ,选择 设备 名 称 和 共享 密 钥 , 如 图 3-16 所 示 。 


[WEE | mnm | 
E [认证 方式 
r-6 Bets) ~ — — —À 
对 方 设备 名 称 0) [PESA SH: 123456] 
本 地 设备 接口 I): [st E gii 
C 自 定义 标识 
本 地 标识 : e 
-本 地 设备 身份 一 一 一 一 一 一 一 一 一 一 NA em 
G 作为 客户 端 ) 一 个 数字 签名 @) 
[本 地 证 书 标识 
对 方 设备 地 址 ; |10.1.1.1 iem 
C fENIBA BR GO eem 
H g. T 
PRSE NN 
认证 方式 。 
EE 


图 3-16 配置 IPSec VPN 隧道 设备 信息 


如 图 3-17 所 示 ,在 隧道 设备 信息 的 “高 级 选项 ?中 配置 相关 信息 。 

(2) 进行 隧道 配置 。 

在 “隧道 配置 ?选项 中 进行 隧道 配置 ,如 图 3-18 所 示 ,选择 添加 的 设备 , 单 击 * 添 加 隧 
道 ?按钮 。 
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m—À 3.1 构建 站 点 到 站 点 IPSec VPN( 预 共享 密 钥 ) me 


| 设备 信息 | EUER | 


[「 协商 尝试 次 数 使 用 时 间 


协商 尝试 次 剖 仙 :|1020 — (--so000) sk 使 用 时 间 D: [s 对 了 | 2 分 钟 ~365 天 ) 


该 页 面 的 设置 
通常 不 需要 修改 


图 3-17 配置 IPSec VPN 隧道 设备 高 级 选项 信息 


| 系统 信息 | 网 络 接口 、 隆 道 配置 | 


a x Ch] o e 
添加 设备 Mia 编辑 设备 。 启动 所 属 隆 道 BEARS 

NARRAR | 。” 本 地 设备 身份 认证 方式 LELES 
MA 000 


| 选择 刚 添加 的 设备 ， 单 
| 击 “ 添 加 隧道 ”图 标 


* 


»m 
HERS  deaHns 。 ”局 动 隆 首 


图 3-18 ”添加 隧道 


如 图 3-19 所 示 , 在 添加 的 新 隧道 中 ,为 添加 隧道 配置 隧道 信息 。 

为 添加 的 信息 隧道 配置 “通信 策略 ?信息 ,如 图 3-20 所 示 。 

如 图 3-21 所 示 ,为 添加 完 隧道 后 的 界面 截图 。 

第 五 步 : 启动 隧道 。 

如 图 3-22 所 示 ,选择 添加 好 隧道 , 单 击 * 启 动 隧道 ?按钮 ,启动 配置 完成 的 隧道 。 
第 六 步 : 验证 测试 。 

隧道 启动 后 可 以 在 “隧道 协商 状态 ” 栏 下 看 到 隧道 的 协商 状态 。 
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添加 隆 道 


BüBEWQ: f 
对 方 设备 名 称 OD: [vei z 


e — — — —— —3 


zm: | 192 59.2 0 


Wap. [255 .255 . 255 . 0 
[82:88 — — — — ——— 
BO: 192 168 1 0 
qe). | 255 .255 .255 . 0 
[ Btitithrgég8 — — — — — — — 
auem m: p a5) 

Iv [B&TERS QU] 


图 3-19 配置 隧道 信息 


VPN 专用 设备 Site-to-Site 的 安全 E 


算法 ， 但 要 和 
VPN 网 关 A 上 的 配置 保持 一 
致 。 也 可 以 选择 默认 配置 。 


图 3-20 ”配置 隧道 “通信 策略 ”信息 


SUR] amr MDNEOR | 


ja x n 
添加 设备 


Hess — 编辑 设备 BARAN 暂停 所 属 隆 道 


| 一 -对方 设 备 名 称 
VENRA "^u EPR 


图 3-21 配置 完成 隧道 信息 
Ainaa | Piao WERS | 
A x n e 
SmiS Mets GRE SUMENA FATAN 
EERTE EAE WEAK TE 
VREA *.— EP PRESA 1 omn 
E " wa à G 
mai ana na (geme) meme 
MESA | AASR | LT Are] XI HATA 


[选择 联 道 ， 单 击 “ 启 动 隧道 ” 


Abi e 


VPN 网 关 A 和 B 只 需要 选择 在 一 边 


| 执行 启动 隧道 操作 即 可 。 


图 3-22 启动 配置 完成 的 隧道 


m—— 3.1 构建 站 点 到 站 点 IPSec VPN( 预 共享 密 钥 ) me 


B stum 如 果 协 商 的 “隧道 状态 ”显示 “第 二 阶段 协商 成 功 ”, 则 
日 Mea s 表示 VPN 网 关 A 到 VPN 网 关 B 的 加 密 隧道 已 建立 成 功 ， 


AERE MA 3-23 所 示 。 
如 图 3-24 所 示 信 息 , 为 配置 完成 协商 好 的 隧道 信息 


描述 。 
第 七 步 : 进行 隧道 通信 。 

VPN 隧道 的 通信 是 可 以 双向 的 ,因此 既 可 以 从 PC1 去 
访问 PC2 ,也 可 以 从 PC2 去 访问 PCI. 


mp izrP vew 


图 3-23 查看 隧道 的 协商 状态 


系统 信息 | 网 络 接口 | Brom | 隧道 协商 大考 上 | 
隧道 协商 状态 


iv] 了 | 本 地 I? 了 对方 IT 了 | 本 地 子 网 [> | 对 方 子 网 加 | 


10. 1.1.1 10.1.2.2 192. 168.1.0/24 — [192.166.2.0/24 


ES porz 
| 回 对 方 设备 名 称 ;YPN 设备 B 
| 1 1.GUI 


图 3-24 协商 好 的 隧道 信息 


从 PCI ping PC2 的 地 址 ,因为 有 VPN 隧道 ,所 以 ping 可 以 成 功 (没有 VPN 隧道 前 
ping 会 是 失败 的 ), 如 图 3-25 所 示 , 通 过 “隧道 通信 状态 "查看 essen 


隧道 通信 状态 。 B puc pem 
VPN 隧道 的 通信 情况 可 以 在 “隧道 通信 状态 ”中 查看 到 ， e 
如 图 3-26 所 示 。 ü 
【注意 事项 】 5 ex 


由 -于 ETE ve 


。 实 验 环境 地 址 可 以 随意 定义 ,但 请 不 要 使 用 1. 1. 1.0 
这 个 网 段 的 IP, 因 为 某 些 功 能 实现 的 需要 ,系统 内 部 图 325 查看 隧道 通信 信息 
已 占用 该 网 段 的 部 分 IP. 


系统 信息 | 网 络 接口 | 院 道 配置 BONERS] 习 才 协商 状态 | 


本 地 子 网 


1 IKE 192. 168. 1.0/24 192. 168. 2. 0/24 14 


图 3-26 VPN 隧道 的 通信 情况 
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。 该 实验 中 ,VPN 网 关 的 防火 墙 规则 为 全 部 开放 。 但 在 实际 的 网 络 环境 中 ,如 果 
VPN 网 关 直 接连 接 Internet 网 络 , 则 一 定 需要 启用 防火 墙 规则 。 


32 ”构建 站 点 到 站 点 IPSec VPN( 数 字 签 名 ) 


【实验 名 称 】 

构建 站 点 到 站 点 IPSec VPN( 数 字 签 名 ) 。 

【实验 目的 】 

学 习 配 置 站 点 到 站 点 (Site-to-Site) 的 IPSec VPN 隧道 ,加 深 对 IPSec 的 理解 。 同 时 
掌握 采用 数字 签名 认证 的 方式 ,实现 站 点 到 站 点 IPSec VPN 安全 通信 。 


【背景 描述 】 

北京 的 某 公 司 在 上 海 设 立 了 新 的 分 公司 ,分 公司 要 远程 访问 总 公司 内 网 中 的 各 种 网 
络 资源 ,例如 ,CRM 系统 .FTP 服务 器 等 。 由 于 在 Internet. 上 传输 数据 本 身 存 在 安全 隐 
患 ,公司 希望 通过 IPSec VPN 技术 ,实现 数据 的 安全 传输 。 


【需求 分 析 】 

需求 : 解决 上 海 分 公司 和 北京 总 公司 之 间 通 过 Internet 进行 数据 传输 的 安全 问题 。 

分 析 : IPSec VPN 技术 通过 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技 术 、 认 证 技术 等 有 
效 地 保证 了 数据 在 Internet 传输 的 安全 性 ,是 目前 最 安全 、 使 用 最 广泛 的 VPN 技术 。 
因此 可 以 通过 建立 IPSec VPN 的 加 密 隧 道 , 实 现 分 公司 和 总 公司 之 间 的 安全 的 数据 
传输 。 

【实验 拓扑 】 

如 图 3-27 所 示 网 络 拓扑 ,是 某 公 司 为 解决 上 海 分 公司 和 北京 总 公司 之 间 , 通 过 
Internet 进行 数据 传输 的 安全 问题 。 分 公司 要 远程 访问 总 公司 的 各 种 网 络 资源 ,需要 在 
Internet 上 传输 数据 ,公司 希望 通过 建立 IPSec VPN 数字 签名 的 加 密 隧 道 , 实 现 分 公司 和 

Internet 


总 公司 之 间 安 全 的 数据 传输 。 
LS ethl O~ F0/0 e eth0 € ethl » 
Router 


PCI VPN 网 关 A VPN 网 关 B 


F0/1 


图 3-27 构建 站 点 到 站 点 IPSec VPN 


【实验 设备 】 
RG-WALL VPN 网 关 : 2 台 ;PC: 2 台 ; 路 由 器 : 1 台 
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【预备 知识 

PKI/CA 数字 证 书 

互联 网 的 发 展 和 信息 技术 的 普及 ,给 人 们 的 工作 和 生活 带 来 了 前 所 未 有 的 便利 。 然 
而 ,由 于 互联 网 所 具有 的 广泛 性 和 开放 性 ,决定 了 互联 网 不 可 避免 地 存在 着 信息 安全 隐 
患 。 为 了 防范 信息 安全 风险 ,许多 新 的 安全 技术 和 规范 不 断 涌现 ,公开 密 钥 基础 设施 
(Public Key Infrastructure,PKI) 即 是 其 中 一 员 。 

PKI 产生 于 20 世纪 80 年 代 , 它 是 在 公开 密 钥 理论 和 技术 基础 上 发 展 起 来 的 一 种 综 
合 安全 平台 ,能 够 为 所 有 网 络 应 用 透明 地 提供 采用 加 密 和 数字 签名 等 密码 服务 所 必需 的 
密 钥 和 证 书 管理 ,从 而 达到 保证 网 上 传递 信息 的 安全 真实 .完整 和 不 可 抵赖 的 目的 。 利 
用 PKI 可 以 方便 地 建立 和 维护 一 个 可 信 的 网 络 计算 环境 ,从 而 使 得 人 们 在 这 个 无 法 直接 
相互 面 对 的 环境 里 ,能 够 确认 彼此 的 身份 和 所 交换 的 信息 ,能 够 安全 地 从 事 商 务 活 动 。 

在 PKI 体系 中 ,认证 中 心 CCertificate Authority. CA) 和 数字 证 书 是 密 不 可 分 的 两 个 
部 分 。PKI 指 的 是 公 钥 基础 设施 ,CA 指 的 是 认证 中 心 。PKI 从 技术 上 解决 了 网 络 通信 
安全 的 种 种 障碍 。CA 从 运营 .管理 .规范 法律. 人员 等 多 个 角度 来 解决 了 网 络 信任 问 
题 。 由 此 人 们 统称 为 PKL/CA。 从 总 体 构 架 来 看 ,PKI/CA 主要 由 最 终 用 户 、 认 证 中 心 和 
注册 企业 来 组 成 。 

PKI/CA 的 工作 原理 就 是 通过 发 放 和 维护 数字 证 书 , 建 立 一 套 信 任 网 络 , 在 同一 信任 
网 络 中 的 用 户 , 通 过 申请 到 的 数字 证 书 来 完成 身份 认证 和 安全 处 理 。 数 字 证 书 又 叫 “ 数 字 
身份 证 "“ 数 字 ID”, 是 由 认证 中 心 发 放 并 经 认证 中 心 数字 签名 的 ,包含 公开 密 钥 拥有 者 
以 及 公开 密 钥 相 关 信 息 的 一 种 电子 文件 ,可 以 用 来 证 明 数 字 证 书 持 有 者 的 真实 身份 。“ 数 
字 证 书 ” 就 像 日 常生 活 中 身份 证 .驾驶 证 ,在 需要 表明 身份 的 时 候 , 必 须 出 示 证 件 来 明确 身 
份 。 参 与 电子 商务 的 时 候 就 依靠 数字 证 书 " 方 式 来 表明 自己 的 真实 身份 。 

认证 中 心 又 叫 CA 中 心 , 它 是 负责 产生 、 分 配 并 管理 数字 证 书 的 可 信赖 的 第 三 方 权威 
企业 。 认 证 中 心 是 PKI 安全 体系 的 核心 环节 ,认证 中 心 通常 采用 多 层次 的 分 级 结构 ,上 
级 认证 中 心 负责 签发 和 管理 下 级 认证 中 心 的 证 书 , 最 下 一 级 的 认证 中 心 直 接 面向 最 终 用 
户 。 一 个 认证 中 心 是 以 它 为 信任 源 .由 它 维护 一 定 范围 的 信任 体系 ,在 该 信任 体系 中 的 所 
有 用 户 、 服 务 器 ,都 被 发 放 一 张 数字 证 书 来 证 明 其 身份 已 经 被 鉴定 过 ,并 为 其 发 放 一 张 数 
字 证 书 , 每 次 在 进行 交易 的 时 候 ,通过 互相 检查 对 方 的 数字 证 书 , 即 可 判别 是 否 是 本 信任 
域 中 的 可 信 体 。 

注册 中 心 负责 审核 证 书 申 请 者 的 真实 身份 ,在 审核 通过 后 ,负责 将 用 户 信息 通过 网 络 
上 传 到 认证 中 心 ,由 认证 中 心 负责 最 后 的 制 证 处 理 。 证 书 的 吊销 .更 新 也 需要 由 注册 企业 
来 提交 给 认证 中 心 处 理 。 总 的 来 说 ,认证 中 心 是 面向 各 注册 中 心 的 ,而 注册 中 心 是 面向 最 
终 用 户 的 ,注册 企业 是 用 户 与 认证 中 心 的 中 间 渠 道 。 

数字 证 书 采 用 公开 密 钥 体制 , 即 利用 一 对 互相 匹配 的 密 钥 进行 加 密 解密。 每 个 用 户 
自己 设 定 一 把 特定 的 仅 为 本 人 所 知 的 专 有 密 钥 ( 私 钥 ) ,用 它 进行 解密 和 签名 ;同时 设 定 一 
把 公共 密 钥 ( 公 钥 ) 并 由 本 人 公开 ,用 于 加 密 和 验证 签名 。 

当 发 送 一 份 保密 文件 时 ,发 送 方 使 用 接收 方 的 公 钥 对 数据 加 密 ,而 接收 方 则 使 用 自己 
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的 私 钥 解密 ,这 样 信息 就 可 以 安全 无 误 地 到 达 目 的 地 。 通 过 使 用 数字 证 书 ,使 用 者 可 以 得 
到 如 下 保证 : 信息 除 发 送 方 和 接收 方 外 不 被 其 他 人 窃取 ;信息 在 传输 过 程 中 不 被 算 改 ;发 
送 方 能 够 通过 数字 证 书 来 确认 接收 方 的 身份 ;发 送 方 对 于 自己 的 信息 不 能 抵赖 ;信息 自 数 
字 签 名 后 到 收 到 为 止 未 曾 作 过 任何 修改 ,签发 的 文件 是 真实 文件 。 

以 数字 证 书 为 核心 的 PKI/CA 技术 ,可 以 对 网 络 上 传输 的 信息 进行 加 密 和 解密 、 数 
字 签 名 和 签名 验证 ,从 而 保证 : 信息 除 发 送 方 和 接收 方 外 不 被 其 他 人 窃取 ;信息 在 传输 过 
程 中 不 被 算 改 ;发 送 方 能 够 通过 数字 证 书 来 确认 接收 方 的 身份 ;发 送 方 对 于 自己 的 信息 不 
能 抵赖 。PKI/CA 解决 方案 已 经 普遍 地 应 用 于 全 球 范围 的 电子 商务 应 用 中 ,为 电子 商务 
保驾 护航 ,为 电子 商务 的 健康 开展 扫 清 了 障碍 。 

目前 , PKI 技术 已 趋 于 成 熟 ,其 应 用 已 覆盖 了 从 安全 电子 邮件 、 虚 拟 专用 网 络 
(VPN)、Web 交互 安全 到 电子 商务 、 电 子 政务 、 电 子 事务 安全 的 众多 领域 ,许多 企业 和 个 
人 已 经 从 PKI 技 术 的 使 用 中 获得 了 巨大 的 收益 。 


【实验 原理 】 

IPSec 的 主要 作用 是 为 IP 数据 通信 提供 安全 服务 。IPSec 不 是 一 个 单独 协议 , 它 是 
一 套 完整 的 体系 框架 ,包括 AH、ESP HI IKE 三 个 协议 。IPSec 使 用 了 多 种 加 密 算法 、 散 
列 算 法 、 密 钥 交 换 方法 等 为 IP 数据 流 提 供 安全 性 , 它 可 以 提供 数据 的 机 密 性 ,数据 的 完整 
性 ,数据 源 认 证 和 反 重 放 等 安全 服务 。 

在 使 用 IKE 为 IPSec 提供 协商 机 制 时 ,可 以 使 用 两 种 对 等 体 认证 方式 : 预 共 享 密 钥 
和 数字 签名 (或 称 数 字 证 书 ), 本 实验 使 用 数字 签名 认证 方式 。 


【实验 步骤 】 

第 一 步 : 准备 好 PC。 

准备 好 PC1 和 PC2 后 , 先 在 PCI 和 PC2 上 安装 VPN 管理 软件 。 具 体 的 安装 步骤 不 
在 这 里 详 述 ,可 以 查看 VPN 产品 的 随机 说 品 书 和 产品 光盘 。 

第 二 步 : 搭建 拓扑 ,配置 IP 地 址 。 

按照 如 图 3-27 所 示 拓 扑 图 ,搭建 实验 拓扑 ,并 根据 如 表 3-2 所 示 编 址 方案 ,配置 各 设 
备 的 IP 地址 。 


表 3-2 设备 IP 地 址 


设 备 接 口 地 n 
ethl 接口 地 址 192.168.1.1 
VPN 网 关 A 
eth0 接口 地 址 ml 
PCI 的 IP 地 址 192. 168. 1. 2 
PC1 
PC1 网 关 地 址 192.168.1.1 
ethl 口 地址 192. 168. 2. 1 
VPN NX B 
etho 口 地 址 10. 1.2.1 
PC2 的 IP 地 址 192. 168. 2. 2 
PC2 
PC2 网 关 地 址 192. 168. 2.1 
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设 备 接 口 地 址 
F0/0 地 址 10.1. 1.2 
Router 
F0/1 地 址 10.1.2.2 


说 明 : PC 及 Router 地 址 的 配置 方式 不 再 详 述 。 


CD 通过 PCI 超级 终端 ,在 命令 行 状 态 下 配置 VPN 网 关 A 的 echl 口 地 址 ,操作 如 
图 3-28 所 示 。 


配置 VPN 网 关 A 的 ethl 口 地 址 
(2) 通过 PC1 上 VPN 管理 软件 登录 VPN 网 关 A, 配 置 edo 口 地 址 ,操作 如 图 3-29 所 示 。 


FRO 设备 管理 如 设备 升级 0 "P bow 
|3? |a B 


时 至 本 信息 irum Reen) 
co 同 络 管理 = 
"h 网 桥 设置 n ET a 
EB 网 络 接口 RERO SHE FARO 
8 nna 
. neon mo 用 
P AH 管理 eth0 athl 
EX 
*& DNS 设置 
49 拟 号 服务 器 
到 EPES 
G ?HP 服务 器 
d ones 
局 aars 
: d 日 去 管理 
E ratem 
Jp FRIR meenRS 
e FP 用 户 认证 


直接 双击 eth0 
接口 图 标 


[3m Pers Tr “| 


图 3-29 配置 etho 口 地 址 (1) 


设置 如 图 3-30 所 示 的 eth0 口 地 址 。 

G) 通过 PC2 超级 终端 ,在 命令 行 下 配置 VPN 网 关 B 的 ethl 口 地 址 ,操作 如 图 3-31 
所 示 。 

(D 通过 PC2 上 的 VPN 管理 软件 登录 VPN 网 关 B, 然 后 配置 ethl 口 地 址 ,操作 如 
图 3-32 所 示 。 
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* 规 | 配置 信息 | 高 加 选项 | 子 接口 


RHD 


(2.1 192.168.2.1) 馈 捷 VPN 


Bata 


C IES 
C 目 动 区 得 Pt 让 
-G PERE 
IP 地 址 : 10 1 Y 1 
7AB: 255 . 255 . 255 . 0 
外 出 网 关 w—3-:-: 1l 
C PPPoE 技 号 
C 加 入 网 桥 
MARE: fo (17255, MANERA) 
00 | 
| 


图 3-30 


默认 路 由 直接 在 
外 出 接口 处 配置 


配置 etho 口 地 址 (2) 


命令 行 模式 配置 VPN 网 关 ethl 口 地 址 


设备 升级 中 


# bu 


F 基本 信息 
日- 起 网 站 管理 
"h 同村 
Ls 
LY 
a E 路 由 设置 
c2 ME 管理 
A mas 设置 
V DDNS 设 置 
CECT 
f PAPER 
3 ncnges 


|4? S| 858 
系统 信息 
B 


需要 设置 哪个 接 
就 双击 该 接口 的 


图 3-32 


配置 ethl 口 地 址 (1) 


m—————X 3.2 构建 站 点 到 站 点 IPSec VPN( 数 字 签 名 ) mm 


设置 ethl 口 地 址 ,操作 如 图 3-33 所 示 。 


[* A [TES | 5m4n | 780 ] 
CARE 
C BRERUIPIE 
€ WERE — — — — — —] 
IP 地 址 : Wa 3 v 2s | 默认 路 由 直接 在 
| 外 出 接口 处 配置 
F: 255.255. 2065. 0 | 
外 出 网 关 : 10 .1 2..'2 
C PPPS 
C 加 入 网 桥 
EBRE: [fo (1255 BERARENA) 


图 3-33 配置 ethl 口 地 址 (2) 


第 三 步 : 配置 VPN 网 关 A 的 IPSec VPN 隧道 。 

(1) 进行 设备 配置 。 

打开 “虚拟 专用 网 ”中 “隧道 配置 "项 , 单 击 “ 添 加 设备 ”按钮 ,添加 设备 ,如 图 3-34 
所 示 。 


系统 信息 | PARO BOBRE | 


a 
添加 设备 


e 
[C MEI 
让 地 设备 身份 


um 


配置 隧道 请 
单 击 该 图 标 


Sk] 
添加 隆 道 期 除 隆 道 SRDE 


là 
gehts 
隧道 名 称 ”| 对方 设备 名称 | E 


e 重 载 设备 证 书 
ag TH 集中 管理 

P mum 
mde TP vea 


图 3-34 ”添加 隧道 设备 


在 打开 的 IPSec VPN 隧道 “设备 设置 "信息 中 ,选择 设备 名 称 、 设 备 地 址 和 数字 签名 
的 认证 方式 ,配置 如 图 3-35 所 示 信 息 内 容 。 

配置 完成 后 ,选择 “数字 签名 ”, 单 击 “ 配 置 ?按钮 。 

如 果 已 经 导入 本 地 证 书 或 使 用 出 厂 默 认证 书 , 那 么 界面 就 会 自动 显示 本 地 证 书 标识 。 
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设备 设置 
[ S&EB | 高 级 选项 
[设备 信息 认证 方式 
C RRSO 
对 方 设备 名 称 0: meas ————— z5 
本 地 设备 接口 D: [st H å 
[本 地 设备 身份 
C 作为 客户 端 人 ) 2 p 
对 方 设备 地 址 : [0.1.21 —————— m 
C 作为 服务 器 端 @) ASERRE 
H jn] 
Wapueam (079 


图 3-35 配置 数字 签名 的 认证 方式 


获取 对 方 证 书 标识 时 ,首先 需要 得 到 对 方 的 证 书 , 并 放 到 管理 机 上 ,然后 单 击 “ 获 取 对 


方 证 书 标识 ”按钮 即 可 。 如 图 3-36 Bros , 获 
如 图 3-37 所 示 是 获取 对 方 证 书 标识 结 


本 地 证 书 标识 


地 证 书 标识 -- 
BEST t Dente DU 
 dm/emailà dresse adm(nuije. com. 


JC-CN/ST -bi/L-b//O «n MU Oc ad/emsiedaess 


取 本 地 证 书 标识 。 
果 状 态 。 


KARER 


地 证 书 标识 
Er 
ddiess=adm@rujie.com.cn 


证 书 标识 
JC-CN/ST -bi/L-Si/D-ruije/OU-ruijie/ENeadm.... 


ADERS 
当前 证 书 标 诛 配 置 
[se [mmus | 


CHTBER 
BERE e VS epe re er 


FN/CN«shil/email& dcressechilGxuije. 
获取 对 方 证 书 标识 
[ss [xsut&m 1 


en 
-Beiing/C zruije/QU - VPN. 


图 3-36 导入 本 地 证 书 获取 本 地 证 书 标识 


回 到 图 3-35 所 示 界 面 上 ,继续 选择 隧道 


图 3-38 所 示 。 
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图 3-37 获取 对 方 证 书 标识 


设备 信息 中 的 “高 级 选项 ”, 配 置 相关 信息 ,如 


m— 3.2 构建 站 点 到 站 点 IPSec VPN( 数 字 签 名 ) m 


设备 设置 


[SEEE | ADER | 


[协商 涯 试 次 数 TSA 使 用 时间 


WAZA M: |1000 GB~30000) siama: je 对 zi 2 分 钟 ~365 天 ) 


FUEN 


Tv 启动 探测 C) 


图 3-38 配置 IPSec VPN 隧道 设备 高 级 选项 


(2) 进行 隧道 配置 。 
在 图 3-34 中 打开 “隧道 配置 ”选项 ,进行 隧道 配置 ,如 图 3-39 所 示 ,选择 添加 成 功 的 
设备 , 单 击 “ 添 加 隧道 ”按钮 。 


zm o e 
编辑 设备 。 启动 所 属 院 道 MISPURME 


E B D [2 
B/O HBHEPUS MUS EIE HSE 
(C mism | aream 本 地 设备 接口 ”| ”对方 设 备 地 址 


图 3-39 添加 新 隧道 


如 图 3-40 所 示 ,在 添加 的 新 隧道 中 ,为 添加 隧道 配置 如 图 中 所 示 的 隧道 信息 。 

继续 为 添加 的 信息 隧道 ,配置 “通信 策略 ”信息 ,如 图 3-41 所 示 。 

添加 完 隧道 后 的 界面 如 图 3-42 所 示 。 

第 四 步 : 配置 VPN 网 关 B hJ IPSec VPN 隧道 。 

(1) 进行 设备 配置 。 

在 图 3-29 中 VPN 管理 界面 上 ,打开 “虚拟 专用 网 ”中 “隧道 配置 ”项 , 单 击 “ 添 加 设备 ” 
按钮 ,添加 设备 ,如 图 3-43 所 示 。 
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Li 通信 策略 


隆 道 名 称 名 :|1 


对 方 设备 名 称 |vrees z] 
[本 地 子 网 — — —————À4 


BO: 192 168 1 0 
iem: [ 255 .255 .255 . 0 


PH 了 了 A 


zmg: [9.59.2 .0 
qe). [255 . 255 .255 . 0 


选择 需要 的 算法 ， 但 要 和 
VPN 网 关 B 上 的 配置 保持 一 
致 . 也 可 以 选择 默认 配置 。 


三 隐 道 协商 参数 一 一 一 一 一 一 一 一 一 一 
ew o: 上 3 Q^) 
Iv BIBIO 


Ex] [x0] 


E Eimnszern 


EB 


图 3-40 配置 隧道 信息 图 3-41 配置 “通信 策略 ”信息 
百 Y D © © 
添加 设备 ”删除 设备 。 ”编辑 设备 。 启动 所 属 隆 道 暂停 所 尿 隆 道 
D XHSARS o U 7 WERE L3 
VENRE ^n EPA 数字 签名 eu 


图 3-42 完成 隧道 配置 信息 


FIRRA | RARD RBSER | 
5 ] a e 
添加 设 各 Eee GREE BESE 
È T 本 地 设备 身份 T 
€ " E F 
banii ERSE SARDE 。 ”启动 隆 道 
[i1 对 方 设备 名 称 本 地 设备 接口 


图 3-43 ”添加 IPSec VPN 隧道 设备 


在 IPSec VPN 隧道 设备 配置 信息 中 配置 设备 信息 : 选择 设备 名 称 、IP 地 址 和 选择 
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“数字 签名 ”数字 加 密 方式 ,如 图 3-44 所 示 。 


(aman | 


三 设 备 信息 


HARRER: [vas 
本 地 设备 接口 T: [euo X 


Eit ü 
本 地 设备 身份 一 一 一 一 一 一 一 一 一 一 HAR a 


C 作为 客户 端 忆 ) 


对 方 设备 地 址 : |10 1 1 1 


C 作为 服务 器 端 () 


i 


图 3-44 配置 IPSec VPN 隧道 设备 信息 


配置 完成 后 ,选择 配置 数字 签名 , 单 击 “ 配 置 ”按钮 ;如 果 已 经 导入 本 地 证 书 或 使 用 出 
厂 默认 证 书 , 那 么 界面 就 会 自动 显示 本 地 证 书 标识 。 

获取 对 方 证 书 标识 时 ,首先 需要 得 到 对 方 的 证 书 , 并 放 到 管理 机 上 ,然后 单 击 “ 获 取 对 
方 证 书 标识 "按钮 即 可 。 如 图 3-45 所 示 ,获取 本 地 证 书 标识 ,配置 本 地 证 书 标识 。 

如 图 3-46 所 示 ,获取 对 方 证 书 标识 ,配置 对 方 证 书 标识 。 


本 地 证 书 标识 本 地 证 书 标识 


「 本 地 证 书 标识 
当前 证 书 标识 : /C«CN/ST-Beijng/L-Beijng/O ruije/QU - V 
PN/CN=shiVemaiAddress=shilGrue com 


「 本 地 证 书 标识 
当前 证 书 标识 : /C-CN/ST-Being/L«Beijng/O-ruije/QU 
PNVCN=shiemaiAddress=shiGruiie com. 
en en 


UN |- 


地 证 书 标识 FS [本 地 证 书 标识 | 
C-CN/ST-Beiing/L-Beiing/O ee 1 /C-CN/ST-Beijng/L-Beijng/O -ruije/OU - VPN... 


DESER cumsan 
当前 证 书 标识 :未 配置 当前 证 书 标识 : /C=CN/ST=bi/L=byD=ruije/0U=ruije/CN=a 
dm/email&ddresssadmGnuije.com.cn. 
上庄 呈 | 对 方 证 书 标识 I | 
图 3-45 导入 本 地 证 书 获取 本 地 证 书 标识 图 3-46 配置 对 方 证 书 标识 
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在 图 3-44 所 示 界 面 上 ,继续 选择 隧道 设备 信息 中 的 “高 级 选项 ,配置 相关 信息 ,如 
图 3-47 所 示 。 


设备 设置 


| 设备 信息 | ATER | 


[协商 尝试 次 数 使 用 果 间 


WAZA: |1000 GB~30000) seaman: fe 对 到 2 分钟 ~355 天 ) 


RIEN 


Iv BRANE 


图 3-47 配置 隧道 设备 信息 的 高 级 选项 
(2) 进行 隧道 配置 。 
在 图 3-39“ 隧道 配置 ?选项 中 进行 隧道 配置 ,如 图 3-48 Eros ,选择 添加 的 设备 , 单 击 
“添加 隧道 ”按钮 。 


o e 
添加 设备 MRES  — 编辑 设备 SHMEE 暂停 所 属 隐 道 
y 本 地 设备 身份 ] 


X zs A 
ë TOS 。 编辑 降 道 Bs Xafehtis 
隧道 名 称 “| 对方 设备 名 称 本 地 设备 接口 | 对 方 设备 地 址 


图 3-48 ”添加 隧道 


如 图 3-49 所 示 ,在 添加 的 新 隧道 中 ,为 新 添加 的 隧道 配置 如 图 所 示 的 隧道 信息 。 
如 图 3-50 所 示 ,继续 为 添加 好 的 隧道 配置 “通信 策略 ?信息 。 

添加 完 隧道 后 的 界面 如 图 3-51 所 示 。 

第 五 步 : 启动 隧道 。 

如 图 3-52 所 示 ,选择 添加 好 隧道 , 单 击 “ 启 动 隧道 "按钮 ,启动 配置 完成 的 隧道 。 
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m———— 3.2 构建 站 点 到 站 点 IPSec VPN( 数 字 签 名 ) mm 


ene | 通信 策略 


隘 道 名 称 WD: | 

对 方 设备 名 称 里) :| YPN 设备 A z] 
[本 地 了 网 ~ 
mg. [19.159 .2 .0 
mw: | 255 . 255 .255 . 0 


Biol ie 


Bg. [19 . 168. 1 0 
qc: | 255 . 255 .255 . 0 
mismas — ———————————3 
ximo: p c5) 

Iv EBRU 


选择 需要 的 算法 ， 但 要 和 
VPN 网 关 B 上 的 配置 保持 一 
致 -也 可 以 选择 默认 配置 。 


口 nES+HIAC_Wns 
口 DEStHIAC. SHA. 
IV SDES*HMAC. MDS 
[L| 3DESEHIAC SHA 
[7 AISTHIAC oS. 
口 AESTHIAC SHA 


[sx] [**] 


图 3-49 配置 隧道 信息 图 3-50 ”配置 隧道 “通信 策略 "信息 
系统 信息 MARE | Fi 管理 | 

n * 0 o e » 
one MRE MS BUARI HOARN 
[ mesEm 本 出 设 备 身份 方式 WSE ETE 

[I T sa 客户 六 数字 签 各 1 emn 


图 3-51 配置 隧道 完成 信息 


| 


fè] x [e] o © 9» 
WS RLS SERA BIMES MSHURRE 


Eure REB ETEA ESERI [ig 


VER 设备 A "a EPM RFEA 1 e 


选择 障 道 ， 单 击 “局 
动 障 道 ”图 标 。 

VPN 网 关 A 和 B 只 需 
要 选择 在 一 边 执行 启 
动 隧道 操作 即 可 。 


图 3-52 启动 配置 隧道 
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mE RE 


&-- B 虚拟 专用 网 第 六 步 : 验证 测试 。 
T5 rus 隧道 启动 后 可 以 在 “隧道 协商 状态 ” 栏 下 看 到 隧道 
S IURE 协商 状态 ,如 图 3-53 所 示 。 


如 果 协 商 的 “隧道 状态 "显示 “第 二 阶段 协商 成 功 ”， 
则 表示 VPN 网 关 A 到 VPN 网 关 B 的 加 密 隧道 已 建立 


成 功 。 如 图 3-54 所 示 信 息 ,为 配置 完成 协商 好 的 隧道 信 
图 3-53 查看 隧道 的 协商 状态 — 息 描述 。 


mp DTF VE 


Airan | Pian | NICE Renaat] 


ms Een 
ONSE: VRSE 
[ mE CEE 101101 


1.4.22 192 85:004 [162.166 2 0724 


图 3-54 协商 好 的 隧道 信息 
第 七 步 : 进行 隧道 通信 。 
VPN 隧道 的 通信 是 可 以 双向 的 ,因此 即 可 以 从 PCI 去 访问 PC2 , 既 可 以 从 PC2 去 访 
问 PC1。 隧 道 启 动 后 可 以 在 “隧道 协商 状态 ” 栏 下 看 到 隧道 的 协商 状态 ,如 图 3-53 所 示 。 
从 PCI ping PC2 的 地 址 ,现在 因为 有 了 VPN 隧道 所 以 ping 是 可 以 成 功 的 (没有 
VPN 隧道 前 ping 会 失败 )。VPN 隧道 的 通信 情况 可 以 在 “隧道 通信 状态 ”中 查看 到 ,如 
图 3-55 所 示 。 


系统 信息 | 网 络 接口 | anea JRSM aan | 


本 地 了 网 —NMEIM — | 
192. 168. 1.0/24 192. 168.2.0/24 


图 3-55 VPN 隧道 的 通信 情况 


【注意 事项 】 
。 实验 环境 地 址 可 以 随意 定义 ,但 请 不 要 使 用 1. 1. 1.0 à 
能 实现 的 需要 ,系统 内 部 已 占用 该 网 段 的 部 分 IP. 


。 该 实 


ALS erp. VPN 网 关 的 防火 墙 规则 为 全 部 开放 。 但 在 实际 的 网 络 环境 中 ,如 果 


这 个 网 段 的 IP, 因 为 某 些 功 
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VPN 网 关 直 接连 接 Internet 网 络 , 则 一 定 需 要 启用 防火 墙 规则 。 


a 构建 桥接 模式 IPSec VPN 


【实验 名 称 】 
使 用 桥接 模式 构建 IPSec VPN。 


【实验 目的 】 
学 习 使 用 在 桥接 模式 下 的 VPN 网 关 场 景 中 构建 站 点 到 站 点 (Site-to-Site) 的 IPSec 
VPN 隧道 。 


【背景 描述 】 

北京 的 某 公司 在 上 海 设立 了 新 的 分 公司 ,分 公司 要 远程 访问 总 公司 内 网 中 的 各 种 网 
络 资源 ,例如 ,CRM 系统 FTP 服务 器 等 。 由 于 在 Internet 上 传输 数据 本 身 存在 安全 隐 
患 ,公司 希望 通过 IPSec VPN 技术 实现 数据 的 安全 传输 ,并 且 最 重要 的 是 不 改变 当前 网 
络 编 址 和 路 由 的 拓扑 。 


【需求 分 析 】 

需求 : 解决 上 海 分 公司 和 北京 总 公司 之 间 通 过 Internet 进行 数据 传输 的 安全 问题 。 

分 析 : IPSec VPN 技术 通过 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技 术 、 认 证 技术 等 有 效 
地 保证 了 数据 在 Internet 传输 的 安全 性 ,是 目前 最 安全 、 使 用 最 广泛 的 VPN 技术 。 因 此 
可 以 通过 建立 IPSec VPN 的 加 密 隧 道 , 实 现 分 公司 和 总 公司 之 间 的 安全 的 数据 传输 。 男 
外 ,不 改变 目前 拓扑 ,只 要 对 VPN 网 关 采 取 桥 模式 连接 就 可 以 实现 。 


【实验 拓扑 】 

如 图 3-56 所 示 网 络 拓扑 ,是 某 公 司 在 上 海 设 立 了 新 的 分 公司 ,分 公司 要 远程 访问 总 
公司 内 网 中 的 各 种 网 络 资源 。 为 解决 上 海 分 公司 和 北京 总 公司 之 间 ,通过 Internet 进行 
数据 传输 的 安全 问题 。 公 司 希 望 通过 IPSec VPN 技术 实现 数据 的 安全 传输 ,并 且 最 重要 


的 是 ,不 改变 当前 网 络 编 址 和 路 由 的 拓扑 。 
Brio Brio j 
PCI VPN IE B PC2 


Tnternet 


VPN 网 关 A 
图 3-56 桥接 模式 构建 IPSec VPN 拓扑 
【实验 设备 】 
RG-WALL VPN 网 关 : 2 台 ; PC: 2 台 ; 路 由 器 : 1 台 。 
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【预备 知识 】 

VPN 的 服务 类 型 

根据 VPN 应 用 的 类 型 来 分 ,VPN 的 应 用 业务 大 致 可 分 为 3 28: Access VPN, 
Intranet VPN 5 Extranet VPN ,但 更 多 情况 下 需要 同时 用 到 这 三 种 VPN 网 络 类 型 , 特 
别 是 对 于 大 型 企业 。 


1. Access VPN 

Access VPN 又 称 为 拨号 VPN CHI. VPDNO ,是 指 企业 员工 或 企业 的 分 公司 通过 
Internet 公 网 远程 拨号 的 方式 ,访问 公司 内 网 中 资源 而 构筑 的 虚拟 专用 网 。 如 果 企 业 的 
内 部 人 员 在 外 出 差 或 有 远程 办 公 需 要 ,或 者 商家 要 提供 B2C 的 安全 访问 服务 ,就 可 以 考 
虑 使 用 Access VPN, 

Access VPN 通过 一 个 拥有 与 虚拟 专用 网 络 相同 策略 的 共享 基础 设施 ,提供 对 企业 
内 部 网 和 外 部 网 之 间 的 远程 安全 访问 。Access VPN 能 使 用 户 随 时 、 随 地 以 其 所 需 的 方 
式 访问 企业 网 中 保密 资源 。 包 括 模拟 拨号 Modem, ISDN 数字 用 户 线路 (xDSL) 无线 上 
网 和 有 线 电视 电缆 等 技术 ,安全 地 连接 移动 用 户 、 远 程 工作 者 或 分 支 企 业 。 这 种 方式 相对 
传统 的 拨号 访问 具有 明显 的 费用 优势 ,对 于 需要 移动 办 公 的 企业 来 说 不 失 为 一 种 经 济 安 
全 ,灵活 自由 的 好 方式 ,所 以 这 种 方式 通常 也 是 许多 大 、 中 型 企业 所 选择 。 


2 Intranet VPN 

Intranet VPN 即 企业 的 总 部 与 分 支 企 业 间 ,通过 VPN 虚拟 专 网 进行 网 络 连接 。 随 
着 企业 的 跨 地 区 、 国 际 化 经 营 ,如 果 要 进行 企业 总 部 和 各 分 支 企业 的 互联 ,使 用 Intranet 
VPN 是 很 好 的 方式 。 这 种 VPN 通过 公用 因特网 或 者 第 三 方 专用 网 进行 连接 ,有 条 件 的 
企业 可 以 采用 光纤 作为 传输 介质 。 它 的 特点 是 容易 建立 连接 .连接 速度 快 ,最 大 特点 是 为 
各 分 支 企业 提供 了 整个 网 络 的 访问 权限 。 

越 来 越 多 的 企业 需要 在 全 国 乃至 世界 范围 内 建立 各 种 办 事 企业 、 分 公司 、 研 究 所 等 ， 
各 个 分 公司 之 间 传 统 的 网 络 连 接 方式 一 般 是 租用 专线 。 显 然 , 在 分 公司 增多 .业务 开展 越 
来 越 广泛 时 ,租用 专线 网 络 结构 趋 于 复杂 ,费用 昂贵 。 

利用 VPN 特性 可 以 在 因特网 上 组 建 世 界 范围 内 的 Intranet VPN。 利 用 因特网 的 线 
路 保证 网 络 的 互联 性 ,而 利用 隧道 ,加 密 等 VPN 特性 可 以 保证 私有 信息 在 整个 Intranet 
VPN 上 安全 传输 。Intranet VPN 通过 使 用 专用 连接 的 共享 基础 设施 ,连接 企业 总 部 、 远 
程 办事 处 和 分 支 企 业 , 企 业 拥有 与 专用 网 络 的 相同 政策 ,包括 安全 、 服 务 质量 (QoS)、 可 管 
理性 和 可 靠 性 。 


3 Bdranet VPN 
Extranet VPN 即 企业 间 发 生 收购 .兼并 或 企业 间 建 立 战略 联盟 后 ,使 不 同 企业 网 通 
过 公 网 来 构筑 的 虚拟 专用 网 。 提 供 B2B 电子 商务 之 间 的 安全 访问 服务 。 
随 着 信息 时 代 的 到 来 ,企业 越 来 越 重 视 各 种 信息 的 处 理 。 希望 可 以 提供 给 客户 最 快 
捷 方 便 的 信息 服务 ,通过 各 种 方式 了 解 客户 的 需要 ,同时 企业 之 间 的 合作 关系 也 越 来 越 
多 ,信息 交换 日 益 频 繁 。 因 特 网 为 这 样 的 一 种 发 展 趋势 提供 了 和 良好 的 基础 ,而 如 何 利 用 因 
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特 网 进行 有 效 的 信息 管理 ,是 企业 发 展 中 不 可 避免 的 一 个 关键 问题 。 利 用 VPN 技术 可 
以 组 建安 全 的 Extranet, 既 可 以 向 客户 、 合 作 伙 伴 提 供 有 效 的 信息 服务 ,又 可 以 保证 自身 
的 内 部 网 络 的 安全 。 

Extranet VPN 对 用 户 的 吸引 力 在 于 : 能 容易 地 对 外 部 网 进行 部 署 和 管理 ,外 部 网 的 
连接 可 以 使 用 与 部 署 内 部 网 和 远 端 访问 VPN 相同 的 架构 和 协议 进行 部 署 。 主 要 的 不 同 
是 接 和 人 许可 ,外 部 网 的 用 户 被 许可 只 有 一 次 机 会 连接 到 其 合作 人 的 网 络 ,并 且 只 拥有 部 分 
网 络 资源 访问 权限 ,这 要 求 企 业 用 户 对 各 外 部 用 户 进行 相应 访问 权限 的 设 定 。 


【实验 原理 】 

IPSec 的 主要 作用 是 为 IP 数据 通信 提供 安全 服务 。IPSec 不 是 一 个 单独 协议 , 它 是 
一 套 完 整 的 体系 框架 ,包括 AH、ESP 和 IKE 三 个 协议 。IPSec 使 用 了 多 种 加 密 算法 、 散 
列 算法 、 密 钥 交 换 方法 等 为 IP 数据 流 提供 安全 性 ,提供 数据 的 机 密 性 、 数 据 的 完整 性 、 数 
据 源 认证 和 反 重 放 等 安全 服务 。 

在 使 用 IKE 为 IPSec 提供 协商 机 制 时 ,可 以 使 用 两 种 对 等 体 认 证 方式 : 预 共享 密 钥 
和 数字 签名 (或 称 数字 证 书 ) ,本 实验 使 用 预 共享 密 钥 认 证 方式 。 

当 将 VPN 网 关 设 置 为 桥接 模式 后 接 入 到 网 络 中 时 ,无 需 改变 编 址 和 路 由 拓扑 ,保证 
了 现 有 网 络 的 拓扑 结构 ,这 时 IPSec VPN 隧道 是 建立 在 两 个 VPN 网 关 的 虚拟 桥接 接口 
(Bridge) 之 间 。 


【实验 步骤 】 

第 一 步 : 准备 好 PC。 

准备 好 PC1 和 PC2 后 , 先 在 PCI 和 PC2 上 安装 VPN 管理 软件 。 具 体 的 安装 步骤 不 
在 这 里 详 述 ,可 以 查看 VPN 产品 的 随机 说 品 书 和 产品 光盘 。 

第 二 步 : 搭建 拓扑 ,配置 IP 地 址 。 

按照 如 图 3-57 所 示 拓 扑 图 ,搭建 实验 拓扑 ,并 根据 如 表 3-3 所 示 编 址 方案 ,配置 各 设 
备 的 IP 地 址 。 


表 3-3 设备 IP 地 址 


设 备 接 口 地 址 
VPN 网 关 A br0 口 地 址 10.1.1.1 
PCI 的 IP 地 址 10.1.1.3 
PC1 
PC1 网 关 地 址 10.1.1.1 
VPN 网 关 B bro 口 地 址 10. 1. 2. 1 
PC2 的 IP 地 址 10. 1. 2. 3 
PC2 
PC2 网 关 地 址 10. 1.2.1 
F0/0 地 址 10. 1. 1.2 
Router 
F0/1 地 址 10.1.2.2 


说 明 : PC 及 Router 地 址 的 配置 方式 不 再 详 述 。 
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CD 通过 PC1 超级 终端 , 转 入 命令 行 状 态 ,在 命令 行 下 配置 VPN 网 关 A 的 bro 桥接 
接口 地 址 ,操作 如 图 3-57 所 示 。 


图 3-57 配置 VPN 网 关 A 的 bro 桥接 接口 


(2) 把 eth0 接口 和 ethl 接口 加 入 到 bro 接口 ,操作 如 图 3-58 所 示 


端 把 eth0 .ethl 接口 加 入 到 bro 接口 


图 3-58 通过 PCI 


(3) 通过 PC2 的 超级 终端 , 转 入 命令 行 状态 ,在 命令 行 下 配置 VPN 网 关 B 的 br0 桥 
接 接 口 地 址 ,操作 如 图 3-59 Bron 。 

(4) 把 eth0 接口 和 eth 接口 加 入 到 bro 接口 ,操作 如 图 3-60 所 示 。 

第 三 步 : 配置 VPN 网 关 A 的 IPSec VPN 隧道 。 

COD 进行 设备 配置 。 
打开 “虚拟 专用 网 ”中 “隧道 配置 "项. 单 击 “ 添 加 设备 ”按钮 ,添加 设备 ,如 图 3-61 
所 示 。 
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: UnCfg, 1: 


3-60 


3.3 


this 


构建 桥接 模式 


means Manu: 


把 etho 、ethl 接口 加 入 到 bro 接口 


iaaa | Raen MERR | 
由 a e 
添加 设备 
DEL NE 三 地 设备 身份 
ó WS 
` 配置 隧道 请 
单 击 该 图 标 
= Eg IfSec VPR 
M 远 和 用户 管理 
E] —.] 
Sa hne F 
LL r1 
ad VENICE FIERE 
E) ERRES maam | WIZSSZÜ | FERGER 
m--g wr VPN 


图 3-61 


添加 IPSec VPN 隧道 t 


IPSec VPN 
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在 打开 的 IPSec VPN 隧道 “设备 信息 ”中 选择 设备 名 称 和 共享 密 钥 ,如 图 3-62 
所 示 。 


设备 信息 | 高 级 选项 | 


设备 信息 一 一 一 一 一 一 一 一 一 一 一 一 认证 方式 
re Htc 


HAREZ: [ner gH: 123456 
本 地 设备 接口 I[): [bro - Y 


本 地 设备 身份 


C TESSPRC 


对 方 设备 地 址 ; [10.1.2.1 


C 作为 服务 器 端 (5) 


图 3-62 配置 IPSec VPN 隧道 设备 信息 


按照 图 3-63 所 示 内 容 , 在 隧道 设备 信息 的 “高 级 选项 "中 配置 相关 信息 。 


[Esae | RE 


协商 尝试 次 数 了 使 用 时 间 


协商 尝试 次 数 仙 : [i000 — (330000) SA 使 用 时 间 (TD): [s [9 z] eatas) 


ENER 


Ir pal 


图 3-63 配置 IPSec VPN 隧道 设备 高 级 选项 信息 


(2) 在 图 3-61“ 隧 道 配置 ”选项 中 进行 隧道 配置 ,如 图 3-64 所 示 。 选 择 添加 的 设备 ， 
单 击 “ 添 加 隧道 ”按钮 。 
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imm | mago BERE | 


à " EJ o e 

添加 设备 HERE 编辑 设备 — 启动 所 属 隆 道 暂停 所 属 隆 道 
了 p> MMN Bosna 

meas —— 0* 


选择 刚 添 加 的 设备 ， 再 
单 击 “ 添 加 隧道 ”图 标 


n M is È 
E DA EEA BARDA $ 
对 广 设 备 名 称 可 地 设备 报 品 对 方 设备 地 址 


图 3-64 添加 新 隧道 


如 图 3-65 所 示 ,在 添加 的 新 隧道 中 为 添加 隧道 配置 隧道 信息 ,配置 内 容 如 图 3-65 
所 示 。 


为 添加 的 信息 隧道 配置 “通信 策略 ”信息 ,配置 的 内 容 如 图 3-66 所 示 。 


E31 313 
EE 
= 证 算法 一 一 一 一 一 一 一 一 一 一 
M2 和 WD [——— — cam = 
对 方 设备 名 称 [mer - zl mI 
F- 本 地 子 网 一 
了 网 中: 选择 需要 的 算法 ， 但 要 和 
waw: [s mm 0 VPN 网 关 B 上 的 配置 保持 一 
a 致 ,也 可 以 选择 默认 配置 ， 
FAQ: | 9.1.2.0 
wu | 255 255 255 o 
三 隆 道 协商 参数 一 一 一 一 一 一 一 一 一 一 
mem: p 5) GER 
r 自动 启动 入) 三 完全 向 前 保密 CFS) 
[Lm] 
图 3-65 配置 隧道 信息 图 3-66 配置 “通信 策略 信息 


第 四 步 : 配置 VPN 网 关 B 的 IPSec VPN 隧道 。 
COD 进行 设备 配置 。 


继续 打开 图 3-61“ 虚 拟 专用 网 ”中 “隧道 配置 "项 , 单 击 “ 添 加 设备 ”按钮 ,继续 添加 设 
备 ,如 图 3-67 所 示 。 


在 IPSec VPN 隧道 设备 信息 中 ,选择 设备 名 称 和 共享 密 钥 ,如 图 3-68 所 示 。 
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[EI Fiaa | 网 洛 接口 MENE | 
mh 由 管理 
x d Rete ^ m zt _ 
E rots Smeg — ss imis ENSE 
Jp FAIR ER 本 地 设备 身份 I 
n? 用 户 认证 
aF AGRA 
mp EX EXE 
o Es 虚拟 专用 由 
日 IPSec VPN 
M 远程 月 户 管理 
EI -j 
33 samo E . E D -i 
D ETENE EIIE SEME SEME BHM 
E &toaus | masm WISSEN | ”本 地 设备 近日 
dd TFTF 作 中 管理 
[rd 
由 -于 ur vy 
图 3-67 添加 IPSec VPN 隧道 设备 
设备 设置 
[IRE | munem | 
三 设备 信息 认证 方式 
C 预 共 享 密 钥 @) 
08g EH OD: [mox TH: 123456 
本 地 设备 接 D: [tr0 z C 地 址 标识 
C 自 定义 标识 
本 地 标识 : @ 
[ SEE A 
C JEEP C) 一 个 数字 签名 @) 
[本 地 证 书 标识 
对 方 设备 地 址 : [10.1.11 Hia 
C 作为 服务 器 端 G) PETERR 
: 口 4 
Bip 
配置 
图 3-68 配置 IPSec VPN 隧道 设备 信息 


如 图 3-69 所 示 ,在 隧道 设备 信息 的 “高 级 选项 ”中 配置 相关 信息 ,内 容 如 图 所 示 。 
(2) 进行 隧道 配置 。 


在 “隧道 配置 "选项 中 进行 隧道 配置 ,如 图 3-70 Bros ,选择 添加 的 设备 , 单 


道 ” 按 钮 进行 隧道 配置 。 
如 图 3-71 所 示 ,在 添加 的 新 隧道 中 为 添加 隧道 配置 隧道 信息 ,内容 如 图 所 示 。 
为 添加 的 信息 隧道 配置 “通信 策略 ?信息 ,如 图 3-72 所 示 。 
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“添加 隧 


ee 3.3 构建 桥接 模式 IPSec VPN mm 


协商 尝试 次 数 -Sk 使 用 时间 


deren qn: [i000 GB~30000) 和 使 用 时 间 D. [s 时 到] @ 分 钟 一 365 天 ) 


Iv 启动 探测 下) 该 页 面 的 设置 
zo 通常 不 需要 修改 


图 3-69 配置 IPSec VPN 隧道 设备 高 级 选项 信息 


系统 信息 | 网 络 授 口 隧道 配置 | 


js] s 加 o © 
添加 设备 MRE dice 。 启动 所 尾 隆 道 MSRP 
对 万 设备 名 称 本 地 设备 身份 Jj 认证 方式 


选择 刚 添加 的 设备 ， 再 


[ROTE | 通信 第 咯 | 

风光 DF 

对 方 设备 名 称 @ ^ 

sna 

o0 LENE 的 算法 ,但 要 和 

cO E ms VPN 网 关 A 上 的 配置 保持 一 
晶振 ac ms | 致 -也 可 以 选择 默认 配置 。 

| E DES+HMAC SkA 

sov ME 站 

meg [m m m o FEM qo 


「 隆 道 协 商 参数 一 一 一 一 一 一 一 ER 
zwam: f (~5) ps 
r 自动 启动 入) 口 元 全 向 前 保 客 Prs) 
me] [sa 


图 3-71 配置 隧道 信息 图 3-72 ”配置 隧道 “通信 策略 "信息 
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如 图 3-73 所 示 ,为 添加 完 隧道 后 的 界面 截图 。 


图 3-73 配置 完成 隧道 信息 


第 五 步 : 启动 隧道 。 


0 图 3-74 所 示 ,选择 添加 好 隧道 , 单 击 * 启 动 隧道 按钮 ,启动 配置 完成 的 隧道 。 


a 


选择 隧道 ， 单 击 “ 启 动 隧道 ”图 标 。 
VPN 网 关 A 和 B 只 需要 选择 在 一 边 
执行 启动 隧道 操作 即 可 。 


5 Y D ü y4 
bi dans j kiai 


图 3-74 ”启动 配置 完成 的 隧道 
第 六 步 : 验证 测试 。 
隧道 启动 后 可 以 在 “隧道 协商 状态 ” 栏 下 看 到 隧道 的 协商 状态 ,如 图 3-75 所 示 。 
mx 报 文 过 小 


EE 虚拟 志 用 网 
&- Bg IPSec VPN 


图 3-75 查看 隧道 的 协商 状态 


如 果 协 商 的 “隧道 状态 ”显示 “第 二 阶段 协商 成 功 ”, 则 表示 VPN 网 关 A 到 VPN 网 关 
B 的 加 密 隧道 已 建立 成 功 ,如 图 3-76 所 示 。 


系统 信息 | Htm | matats CEE i7 ens | 
隧道 xx 


| 对 方 设备 名 称 “ [=]| 
序号 | 隆 道 名 ; 


[EBENE horri lolz! | 


图 3-76 ”协商 好 的 隧道 信息 
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第 七 步 : 进行 隧道 通信 。 

VPN 隧道 的 通信 可 以 是 双向 的 , 既 可 以 从 PCI 去 访问 PC2, 也 可 以 从 PC2 去 访问 
PC1。 从 PCI ping PC2 的 地 址 ,现在 因为 有 了 VPN 隧道 所 以 ping 是 可 以 成 功 的 (没有 
VPN 隧道 前 ping 会 失败 ),VPN 隧道 的 通信 情况 可 以 在 “隧道 通信 状态 ”中 查看 到 ,如 
图 3-77 所 示 。 


图 3-77 查看 隧道 通信 信息 


VPN 隧道 的 通信 情况 可 以 在 “隧道 通信 状态 ”中 查看 到 ,如 图 3-78 所 示 。 


系统 信息 | 隆 道 配置 O eaa | FaR | 


本 地 子 网 HAFA | 
1 10.1.1.0/24 10.1.2.0/24 s 


图 3-78 VPN 隧道 的 通信 情况 


【注意 事项 】 

。 实验 环境 地 址 可 以 随意 定义 ,但 请 不 要 使 用 1. 1. 1. 0 这 个 网 段 的 IP, 因 为 某 些 功 
能 实现 的 需要 ,系统 内 部 已 占用 该 网 段 的 部 分 IP。 

。 该 实验 中 ,VPN 网 美的 防火 墙 规则 为 全 部 开放 。 但 在 实际 的 网 络 环境 中 ,如 果 
VPN 网 关 直接 连接 Internet 网 络 , 则 一 定 需要 启用 防火 墙 规则 。 
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dac 
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4.1 在 地 址 重 又 环境 中 部 署 | PSec VPN 


【实验 名 称 】 
在 地 址 重 倒 环境 中 部 署 IPSec VPN. 


【实验 目的 】 
学 习 在 地 址 重 又 的 情况 下 ,构建 站 点 到 站 点 (Site-to-Site) 的 IPSec VPN 隧道 ,加 深 
对 IPSec 的 理解 。 


【背景 描述 】 

北京 的 某 公 司 在 上 海 设立 了 新 的 分 公司 ,分 公司 要 远程 访问 总 公司 内 网 中 的 各 种 网 
络 资源 ,例如 CRM 系统 .FTP 服务 器 等 。 在 Internet 上 传输 数据 本 身 存在 安全 隐患 , 公 
司 希望 通过 IPSec VPN 技术 实现 数据 的 安全 传输 。 

但 目前 存在 的 一 个 问题 是 ,总 公司 与 分 公司 分 别 在 各 自 组 网 时 都 使 用 了 192. 168. 
1. 0/24 这 个 子 网 地 址 ,这 家 公司 希望 在 不 改动 原 有 编 址 的 基础 上 实现 VPN 的 安全 通信 。 


【需求 分 析 】 

需求 : 解决 上 海 分 公司 和 北京 总 公司 之 间 通 过 Internet 进行 数据 传输 的 安全 问题 。 

分 析 : IPSec VPN 技术 通过 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技 术 、 认 证 技术 等 有 效 
地 保证 了 数据 在 Internet 传输 的 安全 性 ,是 目前 最 安全 、 使 用 最 广泛 的 VPN 技术 。 因 此 
可 以 通过 建立 IPSec VPN 的 加 密 隧 道 ,实现 分 公司 和 总 公司 之 间 的 安全 的 数据 传输 。 在 
解决 子 网 冲突 的 问题 上 ,可 以 用 虚 子 网 的 技术 来 实现 。 


【实验 拓扑 】 

如 图 4-1 所 示 网 络 拓扑 ,是 公司 在 上 海 设 立 了 新 的 分 公司 ,分 公司 要 远程 访问 总 公司 
的 各 种 网 络 资源 ,实现 分 公司 和 总 公司 之 间 信 息 共 享 。 为 解决 上 海 分 公司 和 北京 总 公司 
之 间 通 过 Internet 进行 数据 传输 的 安全 问题 。 公 司 希 望 通过 VPN 技术 ,有 效 地 保证 数 
据 在 Internet 网 络 传输 的 安全 问题 。 

目前 存在 的 一 个 问题 是 ,总 公司 与 分 公司 分 别 在 各 自 组 网 时 都 使 用 了 192. 168. 1.0/ 
24 这 个 子 网 地 址 ,这 家 公司 希望 在 不 改动 原 有 编 址 的 基础 上 实现 VPN 的 通信 ,可 以 使 用 
地 址 重 又 的 情况 下 构建 站 点 到 站 点 (Site-to-Site) 的 IPSec VPN 隧道 ,实现 安全 通信 。 


Internet 
$. ethl SS F0/0 e F0/1 eth0 > ethl LS 
PCI VEU 


M Router y 
VPN 网 关 A VPN 网 关 B PC2 


图 4-1 地 址 重 释 环境 中 部 署 IPSec VPN 网 络 拓扑 


【实验 设备 】 
RG-WALL VPN 网 关 :2 台 ;PC:2 台 ;路 由 器 :1 台 。 


【预备 知识 

IPSec 体系 框架 

IPSec 的 主要 作用 是 为 IP 数据 通信 提供 安全 服务 ,主要 功能 为 加 密 和 认证 。 为 了 进 
行 加 密 和 认证 ,IPSec 还 需要 有 密 钥 的 管理 和 交换 功能 ,以 便 为 加 密 和 认证 提供 所 需要 的 
密 钥 ,并 对 密 钥 的 使 用 进行 管理 。 以 上 三 方面 的 工作 分 别 由 AH、ESP 和 IKE 三 个 协议 
规定 。 

为 了 了 解 三 个 协议 ,需要 先 引 入 一 个 非常 重要 的 术语 一 一 安全 关联 (Security 
Association,SA)。 所 谓 安全 关联 是 指 安全 服务 与 它 服 务 的 载体 之 间 的 一 个 连接 ,为 正确 
封装 及 提取 IPSec 数据 包 , 有 必要 采取 一 套 专 门 的 方案 ,将 安全 服务 / 密 钥 与 要 保护 的 通 
信 数 据 联 系 到 一 起 ;同时 要 将 远程 通信 实体 与 要 交换 密 钥 的 IPSec 数据 传输 联系 到 一 起 。 
换言之 ,要 解决 如 何 保护 通信 数据 ,保护 什么 样 的 通信 数据 以 及 由 谁 来 实行 保护 的 问题 ， 
这 样 的 构建 方案 称 为 安全 关联 。 

AH 和 ESP 都 需要 使 用 SA ,而 IKE 的 主要 功能 就 是 SA 的 建立 和 维护 。 只 要 实现 
AH 和 ESP 都 必须 提供 对 SA 的 支持 。 通 信和 双方 如 果 要 用 IPSec 建立 一 条 安全 的 传输 通 
路 ,需要 事先 协商 好 将 要 采用 的 安全 策略 ,包括 使 用 的 加 密 算法 、 密 钥 、 密 钥 的 生存 期 等 。 
当 双 方 协商 好 使 用 的 安全 策略 后 ,就 说 双方 建立 了 一 个 安全 关联 SA。SA 就 是 能 向 其 上 
层 的 数据 传输 提供 某 种 IPSec 安全 保障 的 一 个 简单 连接 ,可 以 由 AH 或 ESP 协议 提供 。 
当 给 定 了 一 个 安全 关联 SA ,就 确定 了 IPSec 要 执行 的 处 理 , 如 加 密 、 认 证 等 。SA 可 以 进 
行 两 种 方式 的 组 合 , 分 别 为 传输 临近 和 其 套 隧道 。 


1. ESP 

ESP(Encapsulating Secuity Payload) 协 议 主 要 用 来 处 理 对 IP 数据 包 的 加 密 , 此 外 对 
认证 也 提供 某 种 程度 的 支持 。ESP 与 具体 的 加 密 算 法 相 独 立 ,几乎 可 以 支持 各 种 对 称 密 
钥 加 密 算 法 ,例如 DES, TripleDES, RC5 等 。 为 了 保证 各 种 IPSec 实现 间 的 互 操作 性 , 目 
前 ESP 必须 提供 对 56 位 DES 算法 的 支持 。 

ESP 协议 数据 单元 格式 由 三 个 部 分 组 成 ,除了 头 部 .加 密 数 据 部 分 外 ,在 实施 认证 时 
还 包含 一 个 可 选 尾部 。 头 部 有 两 个 域 : 安全 策略 索引 (SPI) 和 序列 号 (sequence 
number) 。 使 用 ESP 进行 安全 通信 之 前 ,通信 双方 需要 先 协商 好 一 组 将 要 采用 的 加 密 策 
略 , 包 括 使 用 的 算法 、 密 钥 以 及 密 钥 的 有 效 期 等 。“ 安 全 策略 索引 ? 便 用 来 标识 发 送 方 是 使 

123 


4.1 在 地 址 重 司 环境 中 部 署 IPSec VPN mm 


== 第 4 章 基于 VPN 专用 设备 高 级 安全 ss 


用 哪 组 加 密 策略 来 处 理 IP 数据 包 的 , 当 接收 方 看 到 了 这 个 序号 就 知道 了 对 收 到 的 IP 数 
据 包 应 该 如 何 处 理 。“ 序 列 号 ”用 来 区 分 使 用 同一 组 加 密 策略 的 不 同 数据 包 。 加 密 数 据 部 
分 除了 包含 原 TP 数据 包 的 有 效 负载 ,填充 域 ( 用 来 保证 加 密 数据 部 分 满足 块 加 密 的 长 度 
要 求 ) ,还 包含 其 余部 分 ,在 传输 时 都 加 密 过 。 其 中 * 下 一 个 头 部 (Next Header)” 用 来 指 
出 有 效 负载 部 分 使 用 的 协议 ,可 能 是 传输 层 协议 CTCP 或 UDP) ,也 可 能 还 是 IPSec 协议 
(ESP 或 AH)。 

通常 ESP 可 以 作为 IP 的 有 效 负 载 进行 传输 ,其 中 IP 的 头 部 使 用 UKB 单元 信息 指 
出 下 一 个 协议 是 ESP ,而 非 TCP 和 UDP。 由 于 采用 了 这 种 封装 形式 ,所 以 ESP 可 以 使 
用 旧 有 的 网 络 进行 传输 。 

前 面 已 经 提 到 用 IPSec 进行 加 密 是 可 以 有 两 种 工作 模式 ,意味 着 ESP 协议 有 两 种 工 
作 模 式 : 传输 模式 (Transport Mode) 和 隧道 模式 (Tunnel Mode), 4 ESP 工作 在 传输 模 
式 时 ,采用 当前 的 IP 头 部 。 而 在 隧道 模式 时 ,将 整个 IP 数据 包 进 行 加 密 作为 ESP 的 有 
效 负 载 ,并 在 ESP 头 部 前 增添 以 网 关 地 址 为 源 地 址 的 新 的 TP. 头 部 ,此 时 可 以 起 到 NAT. 
的 作用 。 


2 AH 

IPSec 认证 头 协议 AH CIPSec AH) 是 IPSec 体系 结构 中 的 一 种 主要 协议 , 它 为 IP 数 
据 报 提供 无 连接 传输 的 完整 性 与 数据 源 认 证 服务 ,并 提供 保护 以 避免 重播 情况 。 一 旦 建 
立 安全 连接 ,接收 方 就 可 能 会 选择 后 一 种 服务 。AH(Authentication Header) 尽 可 能 为 IP 
头 和 上 层 协议 数据 提供 足够 多 的 认证 。 但 是 在 传输 过 程 中 某 些 IP 头 字 段 会 发 生变 化 ， 
且 发 送 方 无 法 预测 数据 包 到 达 接 受 端 时 此 字段 的 真正 值 。AH 并 不 能 保护 这 种 字段 值 变 
化 。 因 此 AH 提供 给 IP 头 的 保护 有 些 不 完善 。 

AH 可 被 独立 使 用 ,或 与 IP 封装 安全 负载 协议 (ESP) 结 合 使 用 ,或 通过 使 用 隧道 模 
式 的 谍 套 方式 配合 使 用 。 在 通信 主机 与 通信 主机 之 间 、 通 信安 全 网 关 与 通信 安全 网 关 之 
间或 安全 网 关 与 主机 之 间 可 以 提供 安全 服务 。 

AH 协议 只 涉及 认证 ,不 涉及 加 密 。AH 虽然 在 功能 上 和 ESP 有 些 重复 ,但 AH Dg 
了 对 IP 的 有 效 负载 进行 认证 外 ,还 可 以 对 IP 头 部 实施 认证 。 主 要 是 处 理 数 据 对 ,可 以 对 
IP 头 部 进行 认证 ,而 ESP 的 认证 功能 主要 是 面 对 IP 的 有 效 负载 。 为 其 提供 最 基本 的 功 
能 并 保证 互 操 作 性 ,AH 必须 包含 对 HMAC-SHA 和 HMAC-MD5CHMAC 是 一 种 SHA 
和 MD5 都 支持 的 对 称 式 认证 系统 ) 的 支持 。 


3 IKE 

IKE(Internet Key Exchange) 协 议 主要 是 对 密 钥 交换 进行 管理 , 它 主 要 包括 三 个 功 
能 : 对 使 用 的 协议 .加 密 算法 和 密 钥 进行 协商 ;方便 的 密 钥 交 换 机 制 ( 这 可 能 需要 周期 性 
的 进行 ) ;跟踪 对 以 上 这 些 约 定 的 实施 。 

【实验 原理 】 

IPSec 的 主要 作用 是 为 IP 数据 通信 提供 安全 服务 。IPSec 不 是 一 个 单独 协议 , 它 是 
一 套 完 整 的 体系 框架 ,包括 AH、ESP 和 IKE 三 个 协议 。IPSec 使 用 了 多 种 加 密 算法 、 散 
列 算法 、 密 钥 交 换 方法 等 为 TP 数据 流 提供 安全 性 , 它 可 以 提供 数据 的 机 密 性 、 数 据 的 完整 
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性 、 数 据 源 认 证 和 反 重 放 等 安全 服务 。 


在 使 用 IKE 为 IPSec 提供 协商 机 制 时 ,可 以 使 用 两 种 对 委 


车 体 认 证 方式 : 预 共 享 密 钥 


和 数字 签名 (或 称 数字 证 书 ) ,本 实验 使 用 预 共享 密 钥 认证 方式 。 


ea 
第 一 步 : 准备 好 PC。 


ied PC1 和 PC2 后 , 先 在 PC1 和 PC2 上 安装 VPN 第 
4 随机 说 品 书 和 产品 光盘 。 
,配置 IP 地 址 。 

到 ,搭建 实验 拓扑 ,并 根据 如 表 4-1 所 示 编 址 方案 


和 这 里 详 述 ,可 以 查看 产品 和 


第 二 步 : 搭建 拓扑 


按照 如 图 4-1 所 示 拓 扑 


备 的 IP 地 址 。 


表 4-1 设备 IP 地址 


管理 软件 。 


具体 的 安装 


步骤 不 


"ed 


设 符 接 H 地 址 
ethl 接口 地 址 192. 168. 1.1 
VPN 网 关 A 
eth0 接口 地 址 10; 1. 1, 1 
PCI 的 IP 地 址 192. 168. 1. 2 
PCI 


VPN BJ X B 


PC1 网 关 地 址 


192. 168. 1. 1 


ethl 口 地 址 


192. 168. 2. 1 


etho 口 地 址 


10. 1.2.1 


PC2 的 IP 地 址 


192. 168.2.2 


PC2 
PC2 网 关 地 址 192. 168. 2. 1 
F0/0 地 址 10. 1. 1.2 
Router 
F0/1 地 址 10; 1.2.2 


说 明 : PC X Router 地 址 的 配置 方式 不 再 详 述 。 


CD 通过 PCI 的 超级 终端 ,在 命令 行 状态 下 配置 VPN 网 关 A 的 ethl 口 地 址 ,操作 


如 图 4-2 所 示 。 


Enter mean 


1: Manual DHCP 6: InBridge 


Enter means Manu 


配置 VPN 网 关 A 的 ethl 口 地 址 
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(2) 通过 PCI 上 的 VPN 管理 软件 ,登录 VPN 网 关 A, 在 管理 界面 上 ,选择 “网 络 接 
口 ” 项 ,在 右 侧 打开 窗口 中 ,选择 eth0 口 ? 图 标 , 然 后 配置 etho 口 地 址 ,操作 如 图 4-3 
所 示 。 


系统 名 ) 设备 管理 但) 设备 升级 四 
EIZE 


[ETT ume Earn) 


a m 
设置 接口 BRET 


* Boo 


B 
BARO 


直接 双击 eth0 
接口 图 标 


PRATA 
P meu 


图 4-3 配置 etho 口 地 址 (1) 
在 打开 的 对 话 框 中 设置 eth0 口 地 址 ,如 图 4-4 所 示 。 
EEE 


| '& 规 [Eana | minem | vn | 


C 无 配置 

C 自动 获得 |Pt 了 址 

e ! 
[IT 1.1.1.1 默认 路 由 直接 在 


FR [m.m m. 3 外 出 接口 处 配置 
外 出 网 关 : [110.1.1.2 f 

个 PPPERS 

C MARI 


WERE: fo (17255, 数值 越 大 权重 越 高 ) 


图 4-4 配置 etho 口 地 址 (2) 


G) 通过 PC2 的 超级 终端 ,在 命令 行 状态 下 配置 VPN WX B fff echl 口 地 址 ,操作 如 
图 4-5 所 示 。 
(D 通过 PC2 上 VPN 管理 软件 ,登录 VPN 网 关 B, 然 后 在 管理 界面 上 选择 “网 络 
接口 ”项 ,在 右 侧 打 开 窗 口中 选择 “ethl 口 ? 图 标 , 然 后 配置 ethl 口 地 址 ,操作 如 图 4-6 
所 示 。 
在 打开 的 对 话 框 中 设置 ethl 口 地 址 ,如 图 4-7 所 示 。 
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ogin: sadm 


H neim 


图 4-5 命令 行 模 式 配 置 VPN 网 关 ethl 口 地 址 


4 (2.1 192.168.2.1) BfEVPN 


FRO 设备 管理 电 ) RERE W * bW 
|3|? 5| B0 


[ Exc 不 二 信息 [REEL] 
AÀ mus z 
"à 网 Fi 设置 
= Eam 
8b, iis 
gf 路 由 设置 
是 AR 管理 
E43 1 
9 SSRS TRENEN 
fim 就 双击 该 接口 的 图 标 
*3 0HCP 报 务 器 
gg vum 
T3 Fatis 
s dd 日 志 管理 
E ces 
Jp RKLR 同 络 接口 状态 
s P BOUE —————À 
由 -全 入 食 防御 mus | kats | 局 用 状态 -连接 状态 
ammine REAA asse NB) n PUSH 
Kd 4-6 配置 ethl 口 地 址 (1) 


* W [RERE | nor | F#0 
C ERE 

C 自动 获得 IPt& 址 

区 — 
IP dd: (TESSUTO 默认 路 由 直接 在 


外 出 接口 处 配置 


7R: | 25.25.25. 0 
cuc ER 


C PPPoE 找 号 
C 和 FF 
浒 路 权 重 : foo 17255, fH SEE DUE RE RS] 


* 0) 


图 4-7 配置 ethl 口 地 址 (2) 
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第 三 步 : 配置 VPN 网 关 A 的 IPSec VPN 隧道 。 

(1) 配制 VPN 虚拟 子 网 。 

打开 “虚拟 专用 网 ”中 “VPN 虚 子 网 配置 ”项 , 单 击 “ 添 加 虚 子 网 ”按钮 ,配置 VPN 虚 子 
网 ,如 图 4-8 所 示 。 


系统 信息 | 隆 道 配置 | 隆 首 通信 状态 | 隆 道 协商 状态 Eg 
x e 


删除 庶子 网 编辑 压 子 网 


图- 图 -图 


Sa 虚拟 专用 网 

Ej Bg, IPSec VPN 
远程 用 户 管理 
Ad 障 道 配置 
LL LIE 
S ntes 
d PH 碟子 网 配置 
E 重 载 设 备 证 书 


m 


图 4-8 配置 VPN 虚 子 网 


在 打开 的 配置 VPN“ 虚 子 网 ”对 话 框 中 ,将 192. 
168. 1. 0 实 子 网 段 映射 成 192. 168. 10. 0 虚 网 段 ,如 — 
图 4-9 所 示 。 EFA: Is -168 . 10 . 0 . 


(2) 进行 设备 配置 。 mzm [m wi. 


UEM DET MU TDI NITE ME 于 
备 ” 按 钮 ,添加 隧道 设备 ,如 图 4-10 所 示 o 

在 IPSec VPN 隧道 “设备 配置 ”对话 框 中 ,选择 设 
备 名 称 、 设 备 地 址 和 认证 方式 ,配置 如 图 4-11 所 示 信 
息 内 容 。 


图 4-9 映射 虚 子 网 网 段 


[Ez] AARE | Pn MERE | 

J nate smaa seis Sais SERI 

Jp FRIR ZEN ESETET 

P 用 Pi 证 

S A58 

gy oe 

Ba emear 

B IPSec VPN 
f APSR 
地 


T-A 


配置 隧道 请 
单 击 该 图 标 


D-E- 


iia n x zm 
隧道 通信 状 
is obtenu BME EPRE GSE ESAE 


i E) Ssxaupe 对 方 没 备 名 称 | 本 地 设备 接 F 
Ag YTR 集 中 管理 
-BP mum 
pier ves a 


40 添加 隧道 设备 
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设备 设置 


设备 信息 | 高 级 选项 | 
[设备 信息 [认证 方式 
C 预 共享 密 钥 四 ) 
对 方 设备 名 称 gg): [meas SHA: 123456 
本 地 设备 接口 m. feo ml C 地 址 标识 
C 自 定义 标识 
本 地 标识 : @ 
[本 地 设备 身份 一 一 一 一 一 一 一 一 一 一 对 六 标识 @[ | 
C 作为 客户 端 忆 ) 一 个 isis D —— — — — — — —À4 
[本 地 证 书 标识 一 一 一 一 一 一 一 一 一 一 
对 方 设备 地 址 : |10.1.2.1 | bens 
euni © uba e] 
ER: 器 
Hip 
为 | . 
配置 


图 4-11 配置 IPSec VPN 隧道 设备 信息 


如 图 4-12 Bros ,选择 隧道 设备 信息 的 “高 级 选项 ”中 配置 如 图 所 示 相 关 信息 。 


| 设备 信息 | ANEN | 


协商 尝试 次 数 使 用 果 间 
mene 1000 — (330000) — w: [e 对 z| 2 分 钟 ~365 天 ) 


F 启动 探测 E) 该 页 面 的 设置 


图 4-12 配置 IPSec VPN 隧道 设备 高 级 选项 信息 


(3) 进行 隧道 配置 。 

在 “隧道 配置 ?选项 中 进行 隧道 配置 ,如 图 4-13 所 示 ,选择 添加 的 设备 , 单 击 “ 添 加 隧 
道 ” 按 钮 。 

如 图 4-14 所 示 ,在 添加 的 新 隧道 中 为 添加 隧道 配置 隧道 信息 。 

为 添加 的 隧道 配置 “通信 策略 "信息 ,如 图 4-15 所 示 。 

添加 完 隧道 后 的 界面 截图 如 图 4-16 所 示 。 
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ET 


n * m o e 
添加 设备 MERE (umi BAMEAN HEATS 
对 方 设备 名 称 å SRLS 认证 方式 Lg 


ESE 


TREE 


Wane | 通信 策略 | 


隘 道 名 称 中 ;| 
对 方 设备 名 称 O: [vng 了 


林地 了 网 一 


zpmg [19 168 . 10 .0 


HWW: | 255 . 255 .255 . 0 
IIIA —— 
子 网 @ [!9 . 168 . 20 . 0 
Wh) [255 . 255 .255 . 0 


选择 需要 的 算法 ， 但 要 和 
VPN 网 关 B 上 的 配置 保持 一 
致 * 也 可 以 选择 默认 配置 。 


道 协商 参数 


重 传 次 数 7); [5 (~5) 
T 自动 启动 入) 


图 4-14 配置 隧道 信息 


图 4-15 配置 “通信 策略 "信息 


系统 信息 Fami MARE | 


ja] D o e 
添加 设备 — 删除 设备 。 ”编辑 设备 SIMEDE 暂停 所 犀 隆 道 

本 地 设备 身份 认证 方式 

il Pn EPR pii] 


图 4-16 完成 隧道 配置 信息 
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第 四 步 : 配置 VPN 网 关 B fj IPSec VPN 隧道 。 

(1) 配制 VPN 虚拟 子 网 。 

打 
击 “ 添 加 虚 子 网 ”按钮 ,配置 VPN 虚 子 网 ,如 图 4-17 所 示 。 


(Intranet 192.168.1.1)83EVPN 


ARD 设备 管理 旭 ERR QD 


E Buon 


“虚拟 专用 网 ”中 “VPN 虚 子 网 配置 ?项 ,选择 相应 


在 地 址 重用 环境 中 部 署 IPSec VPN me 


|3|? S| aB 


基本 信息 


FORRA | 了 配置 | Hosts | nostomike 医 去 各 过 汉 


t | * 
添加 庶子 网 REFA RH 


EFA 


a Ld 


+5 


序号 EFA ZH 


ES wishes 
Ej mamara 
A. ETHER 
ERHET 


图 4-17 配置 VPN 虚 子 网 


在 打开 的 配置 VPN“ 虚 子 网 ”对 话 框 中 ,将 192. 
168. 1. 0 实 子 网 段 映射 成 192. 168. 20. 0 虚 网 段 ,如 
图 4-18 所 示 。 

(2) 进行 设备 配置 。 

打开 “虚拟 专用 网 ”中 “隧道 配置 ”项 ,选择 对 应 右 
侧 页 面 上 的 “隧道 配置 "项 , 单 击 “ 添 加 设备 ”按钮 ,添加 
隧道 设备 ,如 图 4-19 所 示 。 

在 打开 IPSec VPN 隧道 “设备 设置 ?配置 信息 中 ， 
选择 设备 名 称 、 设 备 地 址 和 认证 方式 ,如 图 4-20 所 示 。 


[Ez FRE | MARO MEKE 


| PRES 


EFA 


庶子 网 : 2d 


192 .168 . 1 0 


182 ，168 0 


RFA: 


o [975 2 2.0 


图 4-18 映射 虚 子 网 网 段 


A nase 
dd Bue 
8 rae s 


$ 
plaisia 


国 - 回 


编辑 设备 ER) 


m e 


所 属 隆 


P FRIR 


本 地 设备 身份 


P 用 户 认证 
£23 入 全 防御 
€ 报 文 过 小 
Sa 虚拟 考 用 同 
Bg L^ IPSec VPN 


D-E 


M usmeue 
| 


名 


jme 
E] rep YS 


起 YFH 上 碟子 网 配置 


D 
SOS SME 


bzi 


Ey ERAS 
ag RER 
ADEN 
wp LTP VN 


= 


图 4-19 添加 隧道 设备 


对 方 设备 名 称 


eder 


页 面 上 的 “ 虚 子 网 配置 ”项 , 单 
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设备 设置 


设备 信息 | ATEN | 
三 设备 信息 - 认证 方式 
从 预 共 享 密 钥 区 ) 
对 方 设备 名 称 中 :|vPH 设 备 A 密 钥 : 123456 
本 地 设备 接口 区 ) : |eth0 G 地 址 标识 
C 自 定义 标识 
本 地 标识 : @ 
本 地 设备 身份 一 一 一 一 一 一 一 一 一 一 一 村 Re 站 — — — 
C (ESSPIRC FC. irse) 一 一 一 一 一 一 一 一 一 一 
本 地 证 书 标识 一 一 一 一 一 一 一 一 一 一 一 
对 方 设备 地 址 : |10.1.1.1 | 际 配置 
CIDE, k paka um 
: 本 地 接口 id 
Bip 
为 证 方式 。 
配置 


图 4-20 配置 IPSec VPN 隧道 设备 信息 


如 图 4-21 Bros ,在 隧道 设备 信息 的 “高 级 选项 * 中 配置 如 图 所 示 的 相关 信息 。 


[IIT 
| 设备 信息 | EUER | 
[协商 尝试 次 数 SA 使 用 时 间 - 
协商 尝试 次 数 喘 ，|1020 GB~30000) 5A 使 用 时间 D. [e 对 Scan, 
[fete 
pman 
acus 该 页 面 的 设置 


通常 不 需要 修改 


图 4-21 配置 IPSec VPN 隧道 设备 高 级 选项 信息 


G) 进行 隧道 配置 。 

在 图 4-1%* 隧 道 配置 ?选项 中 ,继续 进行 隧道 配置 ,如 图 4-22 Bros ,选择 添加 的 设备 ， 
单 击 “添加 隧道 ?按钮 。 如 图 4-23 所 示 ,在 添加 的 新 隧道 中 ,为 添加 隧道 配置 隧道 信息 , 配 
置 内 容 如 图 所 示 s 

继续 为 添加 的 隧道 配置 “通信 策略 "信息 ,如 图 4-24 所 示 。 

添加 完 隧道 后 的 界面 截图 如 图 4-25 所 示 。 
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E 4.1 在 地 址 重 登 环境 中 部 署 IPSec VPN mm 


msme | Fri BEACH | 


n b E o e 
添加 设备 MRES 。 编辑 设备 BANTE HONEN 
| — 3058 8 ii 本 地 设备 身份 认证 方式 


选择 刚 添加 的 设备 ， 再 
单 击 “添加 隧道 ”图 标 


ES 区 n 
ECHES — due BUS EGEE 


| BORZ HIRES 本 地 设备 接口 ”对 方 设备 地 直 


图 4-22 添加 新 隧道 


HERE | 通信 策略 
隘 道 名 称 中 ;1 
对 方 设备 名 称 O: [vnia E 


E 


选择 需要 的 算法 ， 但 要 和 
VPN 网 关 A 上 的 配置 保持 一 
致 也 可 以 选择 默认 配置 。 


子 网 :| 132 .168 .20 .0 
Qao: | 255 . 255 .255 . 0 


双方 了 网 ———— M] 
s 192 .168 . 10 . 0 


qnc) [?55 255 . 255 . 0 


道 协 商 参 数 一 一 一 一 一 一 一 一 一 一 
meum m): [5 c5) 


厂 自动 启动 入) 


图 4-23 配置 隧道 信息 图 4-24 配置 通信 策略 信息 


FRAR | Piao MAANEN | 


js] x n o e 
添加 设备 — 删除 设备 — 编辑 设备 SMRDE 暂停 所 属 隆 道 
对 方 设备 名 称 本 地 设备 身份 认证 方式 隧道 数量 Lrg 
PN 设 备 和 A a EPR Woteew 1 em 
n x Lu] I] a 
添加 隧道 MEDE 。 编辑 隆 道 SDE SRDE 
| muam | 对 方 设备 名 称 | ”本 地 设备 接口 对 方 设备 地 址 | 本 地 子 网 HAFA 
DOO O WĪ aD OAA 192168.2 0/055 255.0550 192. 188. 1.0/255.255.255.0 | 


图 4-25 添加 完 隧道 信息 
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第 五 步 : 启动 隧道 。 
如 图 4-26 所 示 ,选择 添加 好 隧道 , 按 * 启 动 隧道 "按钮 ,启动 配置 完成 的 隧道 。VPN 
网 关 A 和 B 只 需要 选择 在 一 边 执行 启动 隧道 操作 即 可 。 


minme|Feemn KERE | 


n Lj] 3n e] eo 
mne Mete ë Suse ADARRE 暂停 所 怀 滋 首 

ELETI 本 地 到 各 身份 Wi 区 [Sr LE 
ER 设备 n^ Erm Eni 1 am 


选择 隧道 ， 单 击 “ 启 
动 隧道 ”图 标 。 

VPN 网 关 A 和 B 只 需 
要 选择 在 一 边 执行 启 
动 隧道 操作 即 可 。 


图 4-26 启动 配置 完成 的 隧道 
由 - EN meet 


c Hg 虚拟 专用 网 第 六 步 : 验证 测试 。 
p i-r 隧道 启动 后 可 以 在 “隧道 协商 状态 " 栏 下 看 到 隧道 的 
协商 状态 。 如 果 协 商 的 “隧道 状态 "显示 “第 二 阶段 协商 成 
ire i 功 ”, 则 表示 VPN 网 关 A 到 VPN 网 关 B 的 加 密 隧 道 已 奸 
DA S 立成 功 ,如 图 4-27 所 示 。 
Be wn 如 图 4-28 BE fet E ,为 配置 完成 协商 好 的 隧道 信息 


图 4-27 查看 隧道 的 协商 状态 ”描述 。 


Ld 


图 4-28 协商 好 的 隧道 信息 


第 七 步 : 进行 隧道 通信 。 自 HP 

VPN 隧道 的 通信 是 可 以 双向 的 ,因此 既 可 以 从 PCI 去 funem 
访问 PC2 ,也 可 以 从 PC2 去 访问 PCI, B natara 

从 PCI. ping PC? 的 地 址 ,现在 因为 有 了 VPN 隧道 所 "— 
以 ping 是 可 以 成 功 的 (没有 VPN 隧道 前 ping 会 是 失败 DAT 
的 )。VPN 隧道 的 通信 情况 可 以 在 “隧道 通信 状态 ”中 查看 i ETE v 
到 ,如 图 4-29 所 示 信 息 。 图 4-29 查看 隧道 通信 信息 
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VPN 隧道 的 通信 情况 可 以 在 “隧道 通信 状态 ”中 查看 到 ,如 图 4-30 所 示 。 


` ana | mama OOUE Lo rg 
辽 道 通信 状态 


| kj j 发 送 失败 包 数 RIER 
1 192.168. 20. 0/24 192. 168. 10. 0/24 0 240 


图 4-30 VPN 隧道 的 通信 情况 


【注意 事项 】 

。 实验 环境 地 址 可 以 随意 定义 ,但 请 不 要 使 用 1. 1. 1. 0 这 个 网 段 的 IP, 因 为 某 些 功 
能 实现 的 需要 ,系统 内 部 已 占用 该 网 段 的 部 分 IP。 

。 该 实验 中 ,VPN 网 关 的 防火 墙 规则 为 全 部 开放 。 但 在 实际 的 网 络 环境 中 ,如 果 
VPN 网 关 直接 连接 Internet 网 络 , 则 一 定 需要 启用 防火 墙 规则 。 

* 本 实验 中 在 两 个 VPN 网 关上 都 使 用 了 虚 子 网 技术 对 原子 网 进行 了 转换 ,实际 中 
只 需要 在 一 端 使 用 虚 子 网 技术 即 可 避免 地 址 重要 。 


4.2 远程 访问 IPSec VPN 准 入 控制 


【实验 名 称 】 
远程 访问 IPSec VPN 准 入 控制 。 
【实验 目的 】 


学 习 配置 远程 访问 (Remote Access)IPSec VPN 隧道 ,并且 对 远程 接 和 的 VPN 用 户 
进行 准 入 控制 。 

【背景 描述 】 

公司 中 某 员工 正在 外 地 出 差 , 但 需要 访问 公司 内 网 中 的 服务 器 资源 ,而 这 些 服务 器 资 
源 因 安 全 性 考虑 并 不 直接 在 公 网 上 开放 ,因此 该 员工 必须 通过 先 和 公司 建立 VPN 隧道 ， 
在 获得 访问 内 部 资源 的 权力 后 方 可 允许 其 访问 。 因 此 出 差 员工 通过 VPN 接 人 到 公司 内 
部 网 络 ,公司 服务 器 需要 对 其 进行 一 些 安全 检查 ,检查 通过 后 方 可 访问 ,保证 内 部 网 络 的 
安全 性 。 


【需求 分 析 】 
需求 : 解决 出 差 员工 和 公司 之 间 通 过 Internet 进行 数据 传输 的 安全 问题 , 且 需 要 进 
行 有 条 件 的 远程 接 入 。 


分 析 : IPSec VPN 技术 通过 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技 术 、 认 证 技术 等 有 效 
地 保证 了 数据 在 Internet 中 传输 的 安全 性 ,是 目前 最 安全 、 使 用 最 广泛 的 VPN BOR. WT 
以 通过 建立 远程 访问 的 IPSec VPN 加 密 隧 道 , 实 现 出 差 员 工 和 公司 之 间 安 全 的 数据 传 
输 。 在 远程 用 户 接 和 人 到 网 络 之 前 ,为 了 保证 接 人 到 内 部 网 络 的 用 户 不 会 对 内 部 网 络 产生 
威胁 ,需要 对 接 人 用 户 的 身份 .系统 状态 等 进行 检查 。 
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【实验 拓扑 】 

如 图 4-31 所 示 网 络 拓扑 ,是 某 公 司 员工 正在 外 地 出 差 , 需 要 访问 公司 内 网 中 的 服务 
器 资源 。 由 于 通过 Internet 数据 传输 的 安全 问题 ,公司 服务 器 资源 因 安 全 性 考虑 不 直接 
在 公 网 上 开放 。 外 地 出 差 员 工 需要 远程 访问 总 公司 内 网 中 的 各 种 网 络 资源 ,在 Internet 
上 传输 公司 私有 数据 ,公司 希望 建立 IPSec VPN 加 密 隧道 。 


pg eth] O~ 
远程 用 户 


服务 器 VPN 网 关 
图 4-31 远程 访问 IPSec VPN 准 入 控制 网 络 拓扑 


Internet 
F0/0 


该 员工 必须 通过 先 和 公司 建立 VPN 隧道 ,获得 访问 内 部 资源 的 权力 ,内 网 服务 器 需 
要 对 其 进行 一 些 安全 检查 ,保证 访问 内 部 网 络 的 安全 性 ,才能 获得 访问 内 部 资源 权力 , 然 
后 实现 和 总 公司 之 间 数 据 传输 的 安全 。 


【实验 设备 】 
RG-WALL VPN WX: 1 台 ;RG-SRA 安全 远程 接 入 系统 软件 : 1 套 ;路 由 器 : 1 台 ; 
PC: 2 台 (1 台 作 为 公司 内 部 服务 器 ,1 台 作为 远程 接 人 用 户 并 安装 SRA 软件 )。 


【实验 原理 】 

IPSec 的 主要 作用 是 为 IP 数据 通信 提供 安全 服务 。IPSec 不 是 一 个 单独 协议 , 它 是 
一 套 完整 的 体系 框架 ,包括 AH、ESP 和 IKE 三 个 协议 。IPSec 使 用 了 多 种 加 密 算法 、 散 
列 算法 、 密 钥 交 换 方法 等 为 IP 数据 流 提供 安全 性 , 它 可 以 提供 数据 的 机 密 性 、 数 据 的 完整 
性 ,数据 源 认证 和 反 重 放 等 安全 服务 。 

使 用 IPSec 可 以 构建 两 种 不 同 接 入 方式 的 VPN, 即 远程 访问 VPN 安全 和 站 点 到 站 
点 VPN 安全 ,本 实验 中 使 用 IPSec 来 构建 远程 访问 VPN. 

远程 用 户 PC 与 公司 VPN 网 关 通 过 IKE 协议 ,自动 协商 建立 起 远程 访问 IPSec 
VPN 加 密 隧 道 ,使 得 远程 用 户 PC 能 安全 地 访问 到 VPN 网 关 所 保护 的 内 部 服务 器 。 

远程 用 户 PC 在 和 VPN 网 关 建 立 VPN 隧道 前 ,需要 先 获 得 VPN 网 关 的 身份 验证 许 
可 。 该 实验 所 采用 的 用 户 身份 验证 为 口令 方式 。 

远程 用 户 PC 在 通过 VPN 网 关 的 身份 验证 后 ,VPN 网 关 会 自动 将 VPN 隧道 建立 
CHI IKE 协商 ) 所 需要 的 配置 下 发 给 远程 用 户 PC, 然 后 远程 用 户 PC 5 VPN 网 关 之 间 自 
动 开 始 IKE 协商 ,协商 成 功 后 VPN 隧道 即 建立 成 功 。 整 个 过 程 系统 自动 完成 ,无 需 人 为 
干预 ,是 免 配 置 的 典型 方式 。 

为 了 保证 接 入 用 户 和 其 系统 状态 不 会 对 内 部 网 络 产 生 威 胁 , 可 以 在 VPN 网 关 侧 配 
置 接 入 控制 功能 ,这 样 只 有 远程 用 户 符合 一 系列 的 接 入 规则 后 , 才 人 允许 与 VPN 网 关 成 功 
建立 隧道 ,访问 内 部 资源 。 
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【实验 步骤 】 
第 一 步 : 准备 好 PC 和 服务 器 。 


在 实验 拓扑 上 模拟 远程 用 户 PC 上 安装 SRA 远程 接 入 软件 ,安装 完成 后 可 能 


新 启动 PC 方 可 生效 。 
在 实验 拓扑 上 模拟 服务 器 PC 上 安装 VPN 管理 软件 。 
具体 的 安装 过 程 不 在 这 里 进行 详 述 。 
第 二 步 : 搭建 拓扑 ,配置 IP 地 址 。 


其 
m 


按照 如 图 4-31 所 示 拓 扑 图 ,搭建 实验 拓扑 ,并 根据 如 表 4-2 所 示 编 址 方案 ,配置 各 设 


备 的 IP 地 址 。 
表 4-2 设备 IP 地址 


设 备 接 H 地 址 

ethl 接口 地 址 192. 168. 2. 1 
VPN 网 关 

eth0 接口 地 址 10. 1. 1,1 

PC 的 IP 地 址 19.1.22 
PC 

PC 网 关 地 址 10.1.2; 1 

服务 器 的 IP 地 址 192. 168. 2. 2 
服务 器 

服务 器 网 关 地 址 192. 168. 2. 1 

F0/0 地 址 10. 1.1.2 
Router 

F0/1 地 址 10. 1. 2. 2 


说 明 : PC 及 Router 地 址 的 配置 方式 不 再 详 述 。 


(1) 通过 模拟 服务 器 的 超级 终端 ,在 命令 行 状 态 下 配置 VPN 网 关 


作 如 图 4-32 所 示 ( 注 


ancel) 


up onboot? ( lo es, Enter means Ves 


le (0: UnCfo. 1: Manual DHCP, 3: PPPoF, ¢: InBridge, Fnler means Manu 


enay in this network) 


图 4-32 配置 VPN 网 关 ethl 口 地 址 


(2) 通过 服务 器 上 VPN 管理 软件 登录 VPN 网 关 , 然 后 直接 双击 “eht0 


打开 对 话 框 ,配置 echo 口 地 址 ,操作 如 图 4-33 所 示 。 


的 ethl 口 地 址 ， 
: VPN 网 关 出 厂 时 ethl 口 默 认 地 址 为 192. 168. 1. 1/24)。 


接口 ”图 标 ， 
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RGÓÉG *et9 e 设备 升级 四 


3|? |a B 


[ESI ag Een) 


a m 
设置 接口 BREI 


* Bon 


B 
BARO 


JB XATR 
P neu 


图 4-33 配置 VPN FJ X etho 口 地 址 (1) 
按照 提示 的 要 求 设 置 echo 接口 地 址 , 如 图 4-34 所 示 。 


| 8 s [Reg S8 | exem | 720 | 


个 元 配置 

C 目 动 效 得 IP 地 址 

Gerr ———— ——3, 

IP 地 址 : 1.1.1 1 | 默认 路 由 直接 在 
FA: [55.5 m5. 0. | ienen 
maa: [0n na —T] 

C PPPERS 

C nA FE 

WHERE: fo 11255, BERARENA) 


图 4-34 配置 VPN 网 关 etho 口 地 址 (2) 


第 三 步 : 配置 IPSec VPN 隧道 。 

(1) 进入 模拟 远程 移动 用 户 VPN 隧道 配置 的 界面 。 

登录 VPN 网 关 的 管理 界面 .打开 “虚拟 专用 网 ”中 “远程 用 户 管理 ”项 ,进入 “远程 用 
户 管 理 ” 界 面 ,如 图 4-35 所 示 。 

(2) 配置 “允许 访问 子 网 ”。 

在 图 4-35“ 远 程 用 户 管理 ”界面 上 ,选择 “允许 访问 子 网 图标, 打开 配 置 “ 允 许 访问 子 
网 ”信息 ,配置 信息 如 图 4-36 所 示 。 
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系统 信息 | 网 络 接口 | 访问 规则 REESRIPIEESEET HEKE | 


9g 35 ug B * 


区 许 访问 子 ”内 部 DRS 服 务 内 部 WIIS 服 SS FRAPA Sriti ”用 户 特征 码 ”当前 接 入 用 
网 器 务 器 EL * P 


到 — 
加 wae 
Bj manats 


图 4-35 远程 移动 用 户 VPN 隧道 配置 


系统 信息 | 网 络 接口 | 访问 规则 DEEAPSS] mana | 

^ ag 
许 访 E 部 DNS| 部 WINS| ui 本 地 用 户 : T 地 址 i Pi 
idaz WOES aR WESER SAAP mata MPRI 


远程 用 户 登 录 成 功 后 ， 多 许 访 问 的 内 部 子 网 资源 . 


EC 
FRE] 255 .>55 .255 . 0 


[ssa] [ui] [asi ][ 5856] 


图 4-36 配置 “允许 访问 子 网 ”信息 


(3) 配置 “本 地 用 户 数 据 库 ”。 
在 “远程 用 户 管理 ”界面 上 ,打开 配置 “本 地 用 户 数 据 库 ”图 标 ,配置 信息 如 图 4-37 
所 示 。 


系统 信息 | 本 地 用 户 数据 库 EEHPEE| 
s 9g 9 到 * 


人 允许 访问 子 ”内 部 nls 服务 ”内 部 虹 WS 服 — 认证 参数 。 本 地 用 户 数 ” 虚 I 地 址 池 ”用 户 特征 码 ”当前 接 入 用 
网 器 务 器 E * P 


图 4-37 配置 “本 地 用 户 数 据 库 ” 信 息 


在 打开 的 “本 地 用 户 数据 库 ” 配 置 界面 上 . 单 击 “ 添 加 用 户 ” 按 钮 ,为 设备 添加 远程 访问 
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的 用 户 信息 ,包括 用 户 名 ,口令 和 用 户 权 限 等 , 如 图 4-38 所 示 , 其 中 口令 自 定义 。 


系统 信息 甘地 用 月 数据 只 | TEASE | 
E, n 部 D R B 
用 户 生效 添加 用 户 SEAP SEEP SAMPAR 。 导出 用 户 列表 


| 序号 用 户 各 用 户口 令 Er 


HK 
0TP 认 证 和 PAP 认 证 所 用 的 用 户 数 据 库 。 
RIEN —— — 
BP&p: [e 
HPueg. eee 


*uneq [ee 


骨 户 权限 一 一 一 一 一 一 一 一 一 一 
C 允许 用 户 登录 
C 禁止 用 户 登 录 


图 4-38 添加 远程 访问 用 户 信息 


在 打开 的 “本 地 用 户 数 据 库 ” 配 置信 息 界面 上 . 单 击 * 用 户 生效 ”按钮 ,让 配置 的 用 户 信 
息 生 效 ( 注 意 : 添加 完 用 户 后 一 定 要 单 击 “ 用 户 生 效 ” 按 钮 ,否则 新 添加 的 用 户 依 然 不 可 使 
Hio. 如 图 4-39、 图 4-40 所 示 。 


m G 
导入 用 户 列表 。 导出 用 户 列表 


图 4-39 让 配置 的 用 户 信 息 生 效 (1) 


系统 信息 DEHBPEUEE 远程 用 户 管理 | 
c, n $ D a n 
用 户 生效 添加 用 户 删除 用 户 SEEP SAMPAR 。 导出 用 户 列表 
ES | 用 户 权限 APA | APOS | WWE 
1 SEAP test m YO AR 


图 4-40 让 配置 的 用 户 信 息 生 效 (2) 
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(4) 配置 “ 虚 IP 地 址 池 ”。 
在 打开 的 “远程 用 户 管理 ”界面 上 选择 配置 “ 虚 IP 地 址 池 ” 项 , 如 图 4-41 所 示 。 


系统 信息 | 本 地 用 户 数据 库 DEBERE! 


s 9 守 侈 司 民 囊 5 


允许 访问 子 ”内 部 DNS 服务 ”内 部 WINS 服 。 认证 参数 HAPS ” 虚 IF 地 址 池 ”用 户 特征 码 ”当前 接 入 用 
网 器 务 器 E R P 


图 4-41 配置 “ 虚 IP 地址 池 ” 信 息 (1) 


在 打开 的 “ 虚 IP 地 址 池 ” 管 理 界面 上 分 别 选择 “添加 ”、“ 删 除 ”、“ 编 辑 ” 图 标 , 配 置 “ 子 
网 地 址 .连续 地 址 ”信息 ， 如 图 4-42 所 示 。 


系统 信息 | 本 地 用 户 数 据 库 | 远程 用 户 管理 了 甘于 区 寺中 


GrH 厂 对 虚 T 分 配 表 之 外 的 用 户 不 自动 分 配 虚 IP 


D 060€ 4 y B à 9 
m O OMe 编辑 mu — 刷新 — WT — vA Sh 打印 


图 4-42 配置 “ 虚 IP 地 址 池 ” 信 息 (2) 


注意 ; 分 配 PC 的 虚拟 IP 地 址 , 既 可 以 是 定义 一 个 地 址 池 , 由 VPN 网 关 自 动 分 配 , 也 
可 以 是 管理 员 一 个 IP 对 应 一 个 用 户 的 分 配 。 本 实验 选择 地 址 池 方式 ,由 系统 自动 分 配 ， 
并 且 选 择 定义 “ 子 网 地 址 ”的 地 址 池 。 

Mà IP 是 网 络 管理 员 分 配给 远程 移动 用 户 的 IP. 表 示 只 有 拥有 该 IP 的 PC 才能 获得 
局 域 网 内 部 的 访问 权限 。 因 此 ,管理 员 设 置 的 虚 IP 一 定 不 要 与 远程 PC 的 IP, 以 及 局 域 
网 内 部 的 IP 互相 冲突 ,否则 远程 PC 在 和 VPN 网 关 建 立 隧道 后 , 因 地 址 冲突 的 问题 ,也 
无 法 访问 局 域 网 内 部 的 服务 器 。 本 实验 中 虚 IP 地 址 池 选 择 定义 一 个 完全 没有 使 用 的 
网 段 。 

如 图 4-43 所 示 , 在 打开 “ 虚 IP 地 址 池 ” 管 理 界面 上 ,选择 “添加 ”图 标 ,配置 如 图 所 示 
的 子 网 地 址 信息 。 

如 图 4-44 所 示 ,为 添加 成 功 的 虚 子 网 地 址 信息 。 

(5) 配置 “用 户 特 征 码 表 ”。 

在 打开 图 4-41 所 示 的 “远程 用 户 管理 ”界面 上 选择 用户 特 征 码 表 ”图 标 ,配置 “用 户 
特征 码 表 ”信息 , 如 图 4-45 Bron. 
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了 系统 信息 | 本 地 用 户 涩 据 库 | 远程 用 户 管理 SIGNI 


FW: 172 .16 . 1 -0 
子 网 醒 码 @):| 255 .255 .255 . 0 


图 4-43 配置 添加 子 网 地 址 信息 (1) 


系统 信息 | 本 地 用 户 数 据 库 | 远程 用 户 各 理 ETARE] 


172.16.1.0 255. 255. 255. 0 ETT 


图 4-44 配置 添加 子 网 地 址 信息 (2) 


系统 信息 | 本 地 用 户 数 据 库 MSRP] 


S a a 党 


fT ARS AR 认证 参数 "mm 庶 IP 地 址 池 RP 当前 将 和 用 


图 4-45 配置 “用 户 特征 码 表 ”信息 


打开 “用 户 特征 码 表 ”对 话 框 后 ,选择 “允许 接 入 ”策略 ,分 配 接 入 用 户 的 接 入 权限 ,如 
图 4-46 所 示 。 


系统 信息 | 本 地 用 户 数据 库 | 远程 用 户 管理 PRIHIIER] 


n x am ü B n ü 
添加 å O 编辑 清空 SA 导出 刷新 
[不 在 表 中 的 用 户 接 入 策略 
C 禁止 接 入 C 允许 接 入 C 允许 接 入 并 自动 堵 定 
| 序号 用 户 名 E 


g = 


图 4-46 配置 用 户 接 入 策略 
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配置 说 明 :“ 用 户 特征 码 表 ?是 为 需要 将 远程 PC 的 硬件 和 分 配给 用 户 的 身份 信息 绑 
定 的 需求 而 设计 的 。 选 择 了 * 人 允许 接 人 并 自动 绑 定 ?功能 , 则 VPN 网 关 会 将 远程 用 户 的 
PC 硬件 特征 码 与 该 用 户 的 身份 认证 信息 相互 绑 定 , 绑 定 后 该 用 户 将 无 法 用 自己 的 身份 
信息 再 在 其 他 PC 设备 上 建立 VPN 隧道 。 

该 实验 中 既 可 以 选择 “允许 接 人 ”, 也 可 以 选择 * 人 允许 接 人 并 自动 绑 定 ”。 系 统 默 认 配 

是 “禁止 接 人 ”。 如 图 4-46 所 示 选 择 的 是 “允许 接 入 ”, 这 表示 该 用 户 的 身份 信息 不 会 和 

其 使 用 的 PC 硬件 绑 定 。 此 次 实验 ,“ 远 程 用 户 管 理 ” 界 面 的 其 他 配置 项 ,例如 ,“ 内 部 DNS 
服务 器 ”“ 内 部 WINS 服务 器 ”“ 认 证 参数 ”, 用 户 可 以 根据 实际 需要 选择 设置 。 但 该 实 
验 因为 不 涉及 这 些 应 用 , 故 不 需要 进行 设置 。 

第 四 步 : 配置 远程 接 入 客户 端 。 

(OD 第 一 次 运行 RG-SRA 程序 后 ,如 图 4-47 所 示 。 


锐 盾 安全 远程 接 入 系统 
ERO IA 日 志 S00 


图 4-47. 运行 RG-SRA 程序 
(2) 建立 一 个 与 VPN 网 关 的 隧道 连接 。 
在 运行 RG-SRA 程序 主 界面 上 , 单 击 “ 新 建 连接 "按钮 ,建立 一 个 与 VPN 网 关 的 隧道 
连接 ,如 图 4-48 所 示 。 


锐 捷 安 全 远程 接 入 系统 
ERO IAW Eg) 帮助 0 


连接 本 识 ， [| 
认证 方式 ， [kais WE ë 
在 桌面 上 和 了 快捷 方式 
开机 时 自动 启动 本 连接 

(we) 


图 4-48 新建 VPN 网 关 的 隧道 连接 
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在 新 建 VPN 网 关 的 “添加 新 连接 ?对 话 框 上 ,填写 新 建 VPN 网 关 的 隧道 连接 的 基本 
信息 : 连接 标示 、 服 务 器 地 址 ,认证 方式 等 ,如 图 4-49 所 示 。 


hires: 24921 
ERO IAW Heo 


连接 管理 
可 以 随意 定义 


[Evu 填写 VPN 网 关 


TE 的 eth0 口 地 址 
认证 方式 ; IT ELT MEN: 
UE i 
Desmana 


口 开 机 时 自动 所 


I 
图 4-49 配置 新 建 隧道 连接 的 基本 信息 (1) 


如 图 4-50 所 示 是 配置 成 功 “ 新 建 VPN 网 关 的 隧道 连接 "基本 信息 。 


连接 标识 : 与 VPMA 的 隧道 
服务 器 地 址 ;|10.1.1.1 
证 方式 ， [BEEZHEAJSSSSSSSSSSNN +) 


口 在 点 面包 陡 快捷 方式 
口 开 机 时 自动 启动 本 连接 


Le J Ca] 


图 4-50 配置 新 建 隧道 连接 的 基本 信息 (2) 


单 击 “ 确 定 ” 按 钮 后 ,显示 建立 完成 的 一 个 与 VPN 网 关 A 的 隧道 连接 标识 号 ,如 
图 4-51 所 示 。 


锐 捷 安全 运程 接 入 系统 
ERO IA HE) 帮助 00 


连接 管理 lâ] 
新 建 连 接 


图 4-51 建立 完成 VPN 网 关 的 隧道 连接 
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(3) 运行 该 隧道 连接 ,建立 VPN 隧道 。 

在 运行 RG-SRA 程序 主 界面 上 , 单 击 “ 连 接管 理 ” 按 钮 ,选择 新 建立 “与 VPN A 
隧道 ”连接 , 右 击 打开 快捷 菜单 ,选择 “启动 连接 ”命令 ,启动 新 建 的 隧道 连接 ,如 
图 4-52 所 示 。 


馈 征 安全 运程 接 入 系统 
ERO IAW 日 志和 帮助 如 


连接 管理 
新 建 连接 
修改 连接 
删除 连接 


连接 名 称 : 

与 WPNA 的 隧道 
服务 器 地 址 : 

101:3 
认证 方式 ; 

网 关 本 地 认证 


图 4-52 启动 新 建 的 隧道 连接 


通过 “启动 连接 "命令 ,启动 新 建 的 隧道 连接 后 ,打开 如 图 4-53 所 示 VPN 连接 对 话 
框 ,输入 身份 认证 所 必需 的 账号 , 即 在 VPN 网 关上 添加 的 用 户 信息 。 


m) 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 


图 4-53 登录 VPN 远程 安全 接 入 系统 


输入 身份 认证 信息 后 , 单 击 “连接 ”按钮 后 ,系统 自动 进行 身份 认证 ,并 且 开 始 IKE 协 
商 , 如 图 4-54 所 示 。 

系统 自动 进行 身份 认证 后 ,与 远程 隧道 连接 建立 成 功 ,SRA 程序 会 自动 缩小 图 标 显 
示 在 屏幕 的 右 下 角 , 如 图 4-55 所 示 。 

选择 SRA 程序 运行 图 标 , 右 击 打开 快捷 菜单 ,在 菜单 中 选择 “详细 配置 ,可 以 查看 到 
隧道 信息 ,如 图 4-56 所 示 。 

如 图 4-57 所 示 信 息 为 查看 到 隧道 信息 ,显示 “可 访问 ”表示 隧道 已 建立 成 功 ,如 果 是 
“不 可 访问 ” 则 表示 隧道 没有 建立 成 功 。“ 资 源 信息 ”中 显示 的 “虚拟 IP 地 址 ”信息 ,表示 该 
IP 为 VPN 网 关 从 虚 地 址 池 中 自动 分 配给 该 PC 的 虚 IP. 
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锐 捷 安 全 远程 接 入 系统 
ERO IAW HG) 帮助 00 


欢迎 使 用 锐 捷 安 全 远程 接 入 系统 


认证 登录 成 功 开始 设置 系统 配置 
与 WPNA 的 隧道 
服务 器 地 址 ; 
10. 1. 1.1 
认证 方式 : 


图 4-54 系统 自动 进行 身份 认证 


重新 登录 了 


C] RG-sRA 帮 助 [sli 
关于 RG-SEA 


«ow 


图 4-55 SRA 程序 运行 成 功 缩小 图 标 图 4-56 查看 到 隧道 信息 
详细 配置 
Wü| 欢迎 使 用 锐 捷 安 全 远程 接 入 系统 
= “可 访问 ”表示 障 道 已 
Erin 建立 成 功 , 如 果 是 "不 
Flo C92. 168 2 0~192. 188.2 255) TDD 一 可 访问 * 则 表示 隧道 
没有 建立 成 功 
该 人 P 为 VPN 网 关 从 
Umm — i epa [— 
地 址 类 型 :自动 配置 配给 该 PC 的 
虚拟 |p 地 址 ，1721611 一 一 一 
DNS 服务 器 : 
WIN5 服 务 器 : 
关闭 


图 4-57 显示 隧道 配置 信息 内 容 
第 五 步 : 验证 测试 。 


在 VPN 网 关 的 管理 界面 也 可 看 到 已 经 建立 成 功 的 隧道 信息 。 如 图 4-58 所 示 信 息 ， 
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在 VPN 网 关 的 管理 界面 ,可 看 到 已 经 建立 成 功 的 隧道 信 


ag Sie 
息 ,双击 “隧道 协商 状态 "可 以 查看 隧道 协商 信息 。 ease 
隧道 启动 后 ,可 以 在 “隧道 协商 状态 ” 栏 下 看 到 隧道 的 G senese 
协商 状态 “隧道 状态 "显示 * 第 二 阶段 协商 成 功 ”。VPN Bi Elus] 
道 的 通信 情况 可 以 在 “隧道 协商 状态 ”中 查看 到 ,如 图 4-59 Sr 
所 示 。 本 
"AGE. 进行 隧道 通信 。 Ee 


在 模拟 远程 用 户 PC 上 去 访问 服务 器 提供 的 服务 可 以 图 上 58 查看 腾 道 协商 信息 (1) 
成 功 , 或 者 在 PC 上 ping 服务 器 的 IP 地 址 可 以 ping 通 ( 没 有 VPN 隧道 前 ping 会 是 失败 
的 )。 如 图 4-60 所 示 , 在 VPN 网 关 的 管理 界面 选择 “隧道 通信 状态 ”可 以 查看 隧道 通信 
信息 。 


pite oz 
wes (v peti 对 IPF | 本 地 子 网 [下 护 了 网 tel 


182. 150.2. 0/24 


172.16. 1. 1/32 


隧道 名 称 是 
系统 自动 定义 的 


图 4-59 查看 隧道 协商 信息 (2) 


由 EE 隧道 启动 后 ,可 以 在 “隧道 通信 状态 ” 栏 下 看 到 隧道 
I DRAPER 的 通信 状态 ,“ 隧 道 状 态 " 显 示 “ 第 二 阶段 协商 成 功 ”。VPN 
is 隧道 的 通信 情况 可 以 在 “隧道 通信 状态 "中 查看 到 ,如 
TE Fl 4-61 所 示 。 
rli 第 七 步 : 配置 客户 端 准 入 控制 。 

mp ur VPN 


在 VPN 管理 界面 中 ,选择 “虚拟 专用 网 ”>“ 远 程 用 
图 4-60 查看 隧道 通信 信息 (1) 户 管理 "项 ,如 图 4-62 所 示 。 


ARRA | RARD | Besos MONERA] unaa | 


发 送 成 功 包 数 发 失败 包 数 
192. 168.2.0/24 172. 16. 1. 1/32 14 0 


图 4-61 查看 隧道 通信 信息 (2) 


在 VPN 管理 界面 中 ,选择 “虚拟 专用 网 ”对 应 的 “远程 用 户 管理 ”功能 界面 ,在 对 话 
框 中 选择 “ 接 入 控制 规则 表 ” 图 标 ,如 图 4-63 所 示 。 
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CD 配置 访问 控制 。 


a-g 报 文 过 源 
在 “远程 用 户 管理 ”功能 界面 上 ,双击 “* 接 a pr ean 
入 控制 规则 表 " 启 动 配置 对 话 框 如 图 4-64 cium 
所 示 。 B3 随 道 协商 状态 
隆 道 通信 状态 
选择 “访问 控 制 " 选 项 卡 . 单 击 右 侧 “ 添 HE 
加 ”按钮 ,添加 一 条 访问 控制 规则 。 其 中 规则 S mases 
高 级 选项 


名 称 为 TCP 控制 ,规则 动作 设置 为 “通过 ”， 
协议 类 型 选择 TCP, 远 程 地 址 选中 单个 地 址 ”图 4-62 选择 虚拟 专用 网 远程 用 户 管理 
并 填 人 服务 器 地 址 192. 168. 2. 2 ,远程 端口 和 本 地 端口 都 选择 所 有 端口 ,配置 信息 如 
图 4-65 Bron 。 


^w" 3 * S * 4 


2 ta 
许 访问 部 Wi 本 地 用 户 À Pii 2 AJ 户 通 信 : EL 
en AF 内 iid AEREN 证 参数 x ded Gibis A p zng 用 用 H c g y4 


图 4-63 选择 接 入 控制 规则 表 


接 入 控制 规则 表 
在 这 里 设置 用 户 上 网 时 必须 满足 的 规则 -一 一 -一 -一 
访问 控制 | 进程 检查 | 操作 系统 检查 | 文件 检查 | 注册 表 检 查 | 外 设 控 4d | 


[| 


图 4-64 配置 访问 控制 规则 (1) 


配置 完成 后 , 单 击 “ 确 定 ” 按 钮 ,成 功 添加 一 条 访问 控制 规则 ,如 图 4-66 所 示 。 

选择 该 规则 , 单 击 “ 确 定 "使 配置 生效 。 重 新 使 用 远程 客户 端 进行 连接 ,客户 端 登 录 成 
功 后 ,在 客户 端 PC 上 建立 到 达 服 务 器 的 TCP 连接 (例如 FTP、Telnet) ,如果 连接 成 功 ， 
说 明 访问 控制 规则 配置 生效 。 选 中 刚才 添加 的 访问 控制 规则 , 单 击 “ 编 辑 ”, 把 规则 动作 设 
置 为 “ 阻 断 ”, 重 新 使 用 远程 客户 端 进行 连接 。 客 户 端 登录 成 功 后 ,在 客户 端 PC 上 建立 到 
达 服 务 器 的 TCP 连接 (例如 FTP, Telnet) ,连接 将 不 成 功 。 
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访问 控制 规则 设置 


4.2 远程 访问 IPSec VPN 准 入 控制 


a T 1 1 | 
smel T T Y | 


C 离散 地 址 ; 
"mmm 


C 所 有 地 址 


cop | (065535) 
C 端口 范围 
aman [ (085535) 
aman Í (0765535) 
C ERRO 


端口 间 用 逗号 分 隔 例 ;21, 25, 80 等 

c Benin) 

[本 地 端口 一 一 一 一 一 一 一 一 
C 单个 端口 [ (0%85535) 
C 端口 范围 

Ls dsl [ (p^&5535) 
结束 端口 [ 人 "85535) 
C 离散 端口 


~ 
ADRESARA: 21,25, 80% 
C 所 有 端口 


[CWP 选项 


suse: Í 


代码 字段 


L [pusem] 


图 4-65 配置 访问 控制 规则 (2) 


接 入 控制 规则 表 


在 这 里 设置 用 户 上 网 时 必须 满足 的 规则 -一 一 一 一 一 一 -一 


图 4-66 成 功 添加 一 条 访问 控制 规则 
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(2) 进程 检查 控制 实验 。 
在 图 4-63“ 远 程 用 户 管理 ”功能 界面 上 ,双击 “ 接 入 控制 规则 表 ” 项 ,启动 配置 对 话 框 ， 
选择 “进程 检查 ”选项 卡 , 如 图 4-67 Bron. 


EXE Ld 


在 这 里 设置 用 户 上 网 时 必须 满足 的 规则 -一 
访问 控制 进程 检查 | 操作 系统 检查 | 文件 检查 | 注册 表 检 查 | 外 设 控 44| ?| 


A 件 路 得 


删除 


编辑 


图 4-67 启动 进程 检查 


单 击 右 侧 “ 添 加 ”按钮 ,弹出 添加 “进程 检查 ”规则 的 对 话 框 ,如 图 4-68 所 示 。 

单 击 “浏览 ”按钮 ,选中 一 进程 文件 ,如 路 径 为 C:\WINDOWS\system32\cmd. exe. 
即 系统 命令 行 窗口 exe 文件 ,进程 名 称 处 填 和 人 容易 识别 的 名 称 , 如 cmd. exe, 判 断 标识 选 
FE E”, 如 图 4-69 所 示 。 


进程 名 称 : cmd. exe 


进程 文件 路 径 . | WIINDOWS\systen3l | 浏览 


判断 标识 : 


e 允许 个 禁止 


图 4-68 配置 启动 进程 检查 (1) 图 4-69 配置 启动 进程 检查 (2) 


单 击 “ 确 定 ”, 成 功 添加 一 条 进程 检查 规则 ,如 图 4-70 所 示 。 

如 果 客 户 端 PC 系统 打开 了 命令 行 窗口 ,此 时 进行 客户 端 登录 ,系统 会 提示 “危险 进 
FE cmd. exe” 存 在 ,如 图 4-71 Bros 。 

如 果 客 户 端 PC 系统 没有 运行 命令 行 窗口 ,此 时 进行 客户 端 登录 ,可 以 成 功 登 录 。 

(3) 操作 系统 检查 实验 。 

在 图 4-67“ 接 入 控制 规则 表 ” 功 能 界面 上 ,选中 “操作 系统 检查 ”项 ,如 图 4-72 
所 示 。 
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EXE rd 


在 这 里 设置 用 户 上 网 时 必须 满足 的 规则 -一 一 一 一 一 -一 -一 
访问 控制 进程 检查 | 操作 系统 检查 | 文件 检查 | 注册 表 答 坦 | neede] 


Bs 


编辑 


在 “ 接 入 控制 规则 表 ” 功 能 界面 上 ,选中 “操作 
系统 检查 ”项 , 单 击 “ 添 加 ”按钮 ,添加 一 条 “操作 系 
统 检查 ”规则 ,如 图 4-73 所 示 。 

在 添加 的 “操作 系统 检查 ”规则 中 ,选择 
Windows XP 操作 系统 , 按 “确定 ”后 ,弹出 “设置 系 
统 补丁 包 ” 对 话 框 ,系统 补丁 填写 SP3, 如 图 4-74 图 4.71 系统 检查 提示 信息 


所 示 。 


图 4-72 选中 “操作 系统 检查 ”项 
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单 击 “ 确 定 ” 按 钮 完成 添加 。 重 新 使 用 远程 客户 端 REAREA 
进行 连接 ,因为 用 户 PC 系统 为 Windows XP, 补 丁 包 为 
SP2, 所 以 客户 端 登录 系统 会 提示 “操作 系统 补丁 版 本 过 
低 , 请 更 新 ”, 如 图 4-75 所 示 。 

(4) 注册 表 检 查 控制 实验 。 

在 图 4-67“ 接 入 控制 规则 表 ” 功 能 界面 上 ,打开 “ 注 
册 表 检查 ”选项 卡 , 如 图 4-76 所 示 。 

| 在 打开 “注册 表 检查 ”对 话 框 中 , 单 击 “ 添 加 ”按钮 打 Bin BAHERKRAIM 
开 注 册 表 添加 窗口 ,如 图 4-77 所 示 。 


设置 系统 补丁 包 
EJ 操作 系统 补丁 版 本 过 低 , 请 更 新 1 


操作 系统 所 打 的 补 本 包 sP C 


图 4-74 填写 系统 补丁 图 4-75 配置 操作 系统 检查 测试 


EMERARA 


接 入 控制 规则 表 


ee 一 -在 这 里 设置 用 户 上 网 时 必须 满足 的 规则 -一 -一 -一 
访问 控制 | 进程 检查 | 操作 系统 检查 | 文件 检查 -— 


图 4-76 配置 注册 表 检 查 图 477 “添加 ”窗口 


验证 测试 准备 : 配置 结束 后 , 回 到 操作 系统 控制 面板 上 ,使 用 命令 打开 PC 系统 的 注 
册 表 ,查找 需要 填 人 注册 表 接 人 控制 规则 的 内 容 ,如 图 4-78 所 示 。 
在 图 4-78 所 示 中 ,在 注册 表 根 键 HKEY_CLASSES_ROOT 下 路 径 为 . 323 项 名 称 为 
Content Type, 项 值 类 型 为 REG_SZ,. 有 一 项 值 为 text/h323 具体 项 .把 上 述 值 分 别 填 和 信 注 
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文件 下) RED EEV RERA 帮助 加 


日 S 我 的 电脑 2| [ 名称 类 型 数据 
EC HKEY CLASSES ROOT lab] EU) REG SZ 1323file 
由 国 * content Type — REO sz text/h323 
3 
HA .386 


图 4-78 验证 测试 配置 完成 的 注册 项 


册 表 接 入 控制 规则 中 ,其 中 规则 动作 设置 为 允许”, 如 图 4-79 所 示 。 
在 图 4-79 所 示 注 册 表 接 入 控制 规则 项 中 ,选择 配置 相关 规则 , 单 击 “ 确 定 ” 按 钮 ,成 功 
添加 一 条 注册 表 接 入 控制 规则 ,如 图 4-80 所 示 。 


注册 表 接 入 控制 


注册 表 根 键 : 
他 WKEY_CLASSES_ROOT 


C HKEY_CURRENT_USER 
(C HKEY LOCAL, MACHINE 


接 入 控制 规则 表 


在 这 里 设置 用 户 上 网 时 必须 满足 的 规则 ----------------- 
C HKEY USERS - E : " 
MKEY CURRENT CONFIG 
注册 表 根 刍 RERE AZE | 键 值 长 度 | APRE 
sh: 325 MEE CLAS... | WKEY CLASSES RO... REG SZ |10 T4657... |: 
mum eem o] L 


图 4-79 配置 注册 表 接 入 控制 规则 图 4-80 ”配置 完成 的 注册 表 接 入 控制 规则 


单 击 “ 确 定 ” 按 钮 ,使 规则 生效 。 重新 登录 远 
程 客户 端 ,将 连接 成 功 。 

如 果 上 述 添加 的 规则 控制 动作 设置 为 * 阻 EI FERIER 2A Content Typ 
止 ”, 客 户 端 系统 会 提示 “存在 危险 注册 表 项 . 323\ T 
Content Typel” 从 而 拒绝 客户 端 登录 ,如 图 4-81 
所 示 。 

(5) 外 设 控制 实验 。 

在 图 4-67 所 示 的 “ 接 入 控 制 规则 表 ” 功 能 界面 上 ,打开 “外 设 控制 及 安全 检查 ”选项 
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卡 , 配 置 相关 信息 ,如 图 4-82 所 示 。 


EXE LL Ld 


Kd 4-82 启动 “外 设 控制 及 安全 检查 ”项 


验证 测试 准备 : 外 设 控制 默认 配置 的 串 /并 口 控制 为 “禁止 ">,USB 存储 设备 控制 为 
“禁止 >。 使 用 远程 客户 端 重新 登录 ,客户 端 会 成 功 登录 。 查 看 用 户 PC 的 “设备 管理 器 ”， 
发 现 串 /并 口 都 被 禁用 ,如 图 4-83 所 示 。 


TILE Ani xi 
XPD REO FEV EHW 

e» me 

BA sco 

过 DVD/CD-ROM 3Ezb88 

IDE ATA/ATAPI 控制 器 

由 $ SCSI 和 RAID 控制 器 

LE] 

<o 催 盘 骤 动 器 
E.» BEI (com 和 LPT) 
A 打印 机 端口 QFT1) 


gu» WE 


由 i 显示 卡 
督 能 卡 阅 污 器 


[ [ 
图 4-83 验证 测试 外 设 控 制 及 安全 检查 准备 


验证 测试 : 在 用 户 PC 上 插入 一 U 盘 , 双 击 
U RRI, 系统 会 提示 “请 将 磁盘 插入 驱动 器 
I:”, 如 图 4-84 所 示 。 

(6) 安全 检查 控制 实验 。 

在 “ 接 入 控制 规则 表 ” 对 话 框 中 打开 “外 设 控 


图 4-84 k U ORMA U 盘 提示 信息 
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制 及 安全 检查 ?选项 卡 ,配置 如 图 4-85 所 示 配 置 相关 控制 信息 。 


在 ” 


接 入 控制 规则 表 


图 4-85 配置 安全 检查 控制 规则 


安全 软件 检查 默认 配置 杀毒 软件 是 否 运 行 栏 为 "运行 ”防火 墙 软件 是 否 存在 栏 为 " 存 


,重新 使 用 远程 客户 端 登 录 , 会 有 如 下 几 种 可 能 。 


。 如 果 客 户 端 运 行 了 杀毒 软件 也 运行 了 防火 墙 ,客户 端 会 登录 成 功 。 

。 如 果 客 户 端 运行 了 杀毒 软件 而 没有 运行 防火 墙 ,系统 会 提示 “防火 墙 软件 不 存 
在 ”, 拒 绝 客户 端 登录 ,如 图 4-86 Bron o 

。 如 果 客 户 端 没 有 运行 杀毒 软件 ,系统 则 会 提示 “杀毒 软件 不 存在 ”, 拒 绝 客户 端 
登录 。 


【注意 事项 】 


。 实 验 环境 地 址 可 以 随意 定义 ,但 请 不 要 使 用 1. 1. 1.0 这 个 网 段 的 IP, 因 为 某 些 功 
能 实现 的 需要 ,VPN 系统 内 部 已 占用 该 网 段 的 部 分 IP. 

。 该 实验 中 ,VPN 网 关 的 防火 墙 规则 为 全 部 开放 。 但 在 实际 的 网 络 环境 中 ,如 果 
VPN 网 关 直接 连接 Internet 网 络 , 则 一 定 需要 启用 防火 墙 规则 。 

* RG-SRA 是 VPN 客户 端 软件 程序 ,如 果 PC 上 已 预 装 其 他 厂家 的 VPN 客户 端 程 
序 ,请 先 印 载 其 他 厂家 的 VPN 客户 端 程序 ,否则 RG-SRA 可 能 无 法 正常 工作 。 

。 RG-SRA 作为 安全 产品 ,安装 后 会 对 系统 的 网 卡 、 端 口 、 协 议 等 方面 有 改动 ,因此 
会 和 部 分 防火 墙 或 者 防 病毒 程序 不 兼容 。 推 荐 用 户 使 用 没有 安装 任何 第 三 方 防 
火 墙 、 防 病毒 程序 的 机 器 来 做 实验 。 

。 注册 表 接 入 控制 规则 中 ,项 路 径 和 项 名 称 前 请 不 要 加 “\”, 直接 填 写 具 体 路 径 即 
可 ,否则 规则 无 法 生效 ,如 图 4-87 所 示 。 

。 接 入 控制 功能 中 ,“ 访 问 控 制 ” 选 项 是 客户 端 成功 接 入 后 ,对 用 户 访 问 进 行 控制 ,而 
其 他 选项 则 是 对 客户 端 接 入 前 做 判断 ,如 果 不 满足 规则 则 拒绝 接 入 。 
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注册 表 根 键 : 


(9 HKEY_CLASSES_ROOT 
C HEEY_CURRENT_USER 
C HKEY LOCAL MACHINE 
C WKEY WSERS 

C HKEY CURRENT CONFIG 


ma: [Pe 
项 名 称 : FEontent Type 


aena [ENS 
说明: 如 果 沈 择 为 REG DWORD 


E 防火 墙 软件 不 存在 ! 


图 4-86 防火 墙 安全 配置 规则 图 4-87 注册 表 接 入 控制 规则 配置 注意 事项 


43 ”构建 SSL VPN 


【实验 名 称 】 
构建 SSL VPN. 


【实验 目的 】 
学 习 配 置 SSL VPN 隧道 ,加 深 对 SSL VPN 的 理解 。 


【背景 描述 】 
某 公司 为 了 员工 出 差 时 能 随时 随地 和 公司 总 部 网 络 联络 ,共享 公司 内 网 中 包括 业务 
处 理 ,资源 访问 、 资 源 共享 等 资源 。 公 司 希 望 员 工 能 够 通过 公 网 方便 接 入 到 公司 网 络 中 。 
由 于 出 差 在 外 员工 可 能 会 使 用 不 同 的 电脑 ,甚至 是 在 网 吧 中 ,所 以 公司 不 希望 员工 通过 使 
用 额外 软件 实现 接 入 公司 内 网 ,这 就 要 求 为 出 差 在 外 员工 提供 一 种 安全 、 灵 活 \ 快 速 、 方 便 
的 远程 VPN 接 入 方式 。 
【需求 分 析 】 
需求 : 解决 出 差 员 工 和 公司 之 间 , 通 过 Internet 公 网 进行 数据 传输 的 安全 问题 ,保证 
在 使 用 上 快速 便捷、 灵活 的 方式 接 入 。 
分 析 : 通过 使 用 SSL VPN 技术 ,远程 用 户 可 以 接 入 到 公司 内 部 网 络 ,并 且 与 公司 内 
部 的 通信 数据 在 Internet 上 传输 时 都 是 经 过 加 密 。 此 外 ,SSL VPN 的 最 大 优势 是 部 署 灵 
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活 、 方 便 ,无 需 预 先 为 接 入 PC 安装 远程 接 人 软件 (例如 IPSec 客户 端 等 ) ,真正 地 实现 了 
零 配置 安全 接 和 人 。 


【实验 拓扑 】 

如 图 4-88 所 示 网 络 拓扑 ,是 某 公司 在 上 海 设立 了 分 公司 ,分 公司 要 远程 访问 总 公司 
的 各 种 网 络 资源 ,实现 分 公司 和 总 公司 之 间 信 息 共享 。 为 解决 上 海 分 公司 和 北京 总 公司 
之 间 通 过 Internet 进行 数据 传输 的 安全 问题 ,公司 希望 通过 SSL VPN 技术 ,有 效 保证 数 
PETE Internet 网 络 传输 的 安全 问题 。 


gp 


远程 桌面 
管理 服务 器 


pg ethü > ethl 


Web 服务 器 VPN 网关 


Internet 
F0/0 


e 


SSL VPN 用 户 


Router 


FTP 服务 器 
图 4-88 构建 SSL VPN 网 络 拓扑 


出 差 在 外 员工 可 能 会 使 用 不 同 地 方 的 电脑 接 人 到 公司 网 络 中 ,公司 不 希望 员工 通过 
使 用 额外 软件 实现 接 入 ,希望 使 用 SSL VPN 技术 ,提供 一 种 安全 灵活、 快速 .方便 的 远 
程 接 人 方式 ,实现 方便 、 安 全 通信 。 

【实验 设备 】 

RG-WALL V1000 VPN 网 关 : 1 台 ; 路 由 器 : 1 台 ;PC: 4 台 。 

【预备 知识 】 

SSL VPN 工作 原理 

随 着 应 用 程序 从 客户 机 和 服务 器 (C/S) 结 构 向 Web 模式 的 迁移 ,企业 必须 面 对 一 个 
新 的 挑战 ,就 是 如 何在 不 影响 最 终 用 户 使 用 的 前 提 下 ,实现 在 任何 地 方 灵活 访问 这 些 应 用 
程序 。 公 司 管理 者 和 销售 员 在 外 出 差 时 携带 笔记 本 电脑 ,需要 实时 访问 公司 内 部 信息 , 设 
Xr. IPSec VPN 可 以 保护 用 户 远程 访问 ,提供 足够 安全 性 ,但 问题 是 安装 和 维护 相当 麻烦 。 

任何 在 PC 上 的 改变 ,对 VPN 而 言 可 能 都 是 一 件 很 麻烦 的 网 络 改造 工作 。 从 管理 员 
角度 来 讲 , 使 用 IPSec VPN 不 仅仅 意味 着 要 对 客户 端 进行 安装 和 调试 ,而 且 还 需要 调整 
整个 网 络 结构 。 

租用 WAN 线路 使 用 IPSec VPN ,对 于 不 经 常 更 改 网 络 结构 的 用 户 来 说 是 非常 好 的 
选择 ,通过 SSL VPN 技术 解决 远程 用 户 访问 公司 敏感 数据 最 简单 最 安全 的 解决 方案 。 
与 复杂 的 IPSec VPN 相 比 ,SSL 协议 通过 简单 易 用 的 方法 ,实现 信息 远程 连通 。 任 何 安 
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装 浏览 器 的 PC 都 可 以 使 用 SSL VPN. 这 是 因为 SSL AREN AAE. , 它 不 需要 像 传统 
IPSec VPN 一 样 必须 为 每 一 台 客 户 机 安装 客户 端 软件 。 

使 用 SSL VPN ,人们 可 以 通过 了 浏览 器 安全 访问 应 用 程序 。 任 何 安装 浏览 器 的 机 
器 都 可 以 使 用 SSL VPN. 不 需要 像 传统 IPSec VPN 一 样 ,必须 为 每 一 台 客 户 机 安装 客户 
端 软 件 。 这 一 点 对 需要 使 用 大 量 机 器 (包括 家 用 机 、 工 作 机 和 客户 机 等 ) 与 公司 机 密 信息 
相连 接 的 网 络 场景 至 关 重 要 。 

SSL VPN 即 指 采用 SSL(Security Socket Layer) 协 议 实 现 远 程 接 入 一 种 新 型 VPN 
技术 。SSL 协议 是 网 景 公司 提出 基于 Web 应 用 安全 协议 , 它 包括 服务 器 认证 、 客 户 认证 
(可 选 )、SSL 链 路 上 数据 完整 性 和 SSL 链 路 上 数据 保密 性 。 使 用 SSL 可 保证 信息 真实 

目前 SSL 协议 被 广泛 应 用 于 各 种 浏览 器 ,也 可 以 应 用 于 Outlook 等 使 用 TCP 协议 
传输 数据 C/S 应 用 。 正 因为 SSL 协议 被 内 置 于 IE 等 浏览 器 中 ,使 用 SSL 协议 进行 认证 
和 数据 加 密 可 以 免 于 安装 客户 端 。 相 对 于 传统 IPSec VPN 而 言 ,SSL VPN 具有 部 署 简 
单 ,无 客户 端 程序 ,维护 成 本 低 , 网 络 适应 强 等 特点 。 

SSL 协议 

SSL 是 Secure Socket Layer 的 缩写 , 即 安全 套 接 层 协议 。 是 由 网 景 (Netscape) 公 司 
推出 的 一 种 安全 通信 协议 , 它 能 够 对 信用 卡 和 个 人 信息 提供 较 强 的 安全 保护 。SSL 协议 
是 对 计算 机 网 络 之 间 整 个 会 话 进行 加 密 的 协议 。 在 SSL 中 ,采用 了 公开 密 钥 和 私有 密 钥 
两 种 加 密 方法 。SSL 协议 用 以 保障 在 Internet 上 数据 传输 的 安全 ,利用 数据 加 密 技术 ,可 
确保 数据 在 网 络 上 的 传输 过 程 中 不 会 被 截取 及 穷 听 。 目 前 一 般 通 用 规格 为 40 位 加 密 安 
全 标准 ,更 高 安全 则 已 推出 128 位 标准 。SSL 协议 已 被 广泛 地 用 于 Web 浏览 器 与 服务 器 
之 间 的 身份 认证 和 加 密 数据 传输 。 

SSL 协议 的 优势 在 于 它 与 应 用 层 协议 无 关 , 高 层 的 应 用 协议 如 HTTP、FTP、Telnet 
等 都 能 透明 地 建立 于 SSL 协议 之 上 ,其 在 应 用 层 协议 通信 之 前 就 已 经 完成 加 密 算法 、 通 
信 密 钥 的 协商 以 及 服务 器 认证 工作 。 在 此 之 后 应 用 层 协 议 所 传送 的 数据 都 会 被 加 密 , 从 
而 保证 通信 的 安全 性 。 

SSL 协议 提供 的 安全 服务 有 : 

CD 对 用 户 和 服务 器 合法 性 认证 ,确保 数据 将 被 发 送 到 正确 客户 机 和 服务 器 上 ; 

© 加 密 数据 以 隐藏 被 传送 的 数据 ,以 确保 数据 传输 过 程 中 机 密 性 和 数据 完整 性 ， 加 
密 数据 以 防止 数据 中 途 被 窃取 ; 

@ 维护 数据 的 完整 性 ,确保 数据 在 传输 过 程 中 不 被 改变 。 

SSL 协议 的 主要 目的 是 在 两 个 通信 应 用 程序 之 间 提 供 私密 信和 可 靠 性 ,SSL 协议 位 
于 TCP/IP 协议 与 各 种 应 用 层 协议 之 间 ,为 数据 通信 提供 安全 支持 。 这 个 过 程 通过 3 个 
元 素来 完成 。 

(D SSL 握手 协议 (SSL Handshake Protocol); 它 建立 在 SSL 记录 协议 之 上 ,用 于 在 
实际 的 数据 传输 开始 前 ,通信 双方 进行 身份 认证 .协商 加 密 算 法 .交换 加 密 密 钥 等 。 这 个 
协议 负责 协商 被 用 于 客户 机 和 服务 器 之 间 会 话 的 加 密 参 数 。 当 一 个 使 用 SSL 协议 客户 
机 和 服务 器 第 一 次 开始 通信 时 ,它们 在 一 个 协议 版 本 上 达成 一 致 ,选择 加 密 算 法 ,选择 相 
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互 认证 ,并 使 用 公 钥 技术 来 生成 共享 密 钥 ; 

© SSL 记录 协议 (SSL Record ProtocoD : 它 建 立 在 可 靠 的 传输 协议 (如 TCP) 之 上 ， 
为 高 层 协议 提供 数据 封装 、 压 缩 、 加 密 等 基本 功能 的 支持 ,这 个 协议 用 于 交换 应 用 层 数 据 。 
应 用 程序 消息 被 分 割 成 可 管理 的 数据 块 ,通过 压缩 ,并 应 用 一 个 MAC( 消 息 认证 代码 )， 
然后 结果 被 加 密 传输 。 接 受 方 接受 数据 并 对 它 解密 , 校 验 MAC, 解 压缩 并 重新 组 合 它 ， 
并 把 结果 提交 给 应 用 程序 协议 s 

@ 警告 协议 。 这 个 协议 用 于 指示 在 什么 时 候 发 生 了 错误 或 两 个 主机 之 间 的 会 话 在 
什么 时 候 终 止 。 

SSL 协议 的 工作 流程 。 

服务 器 认证 阶段 : 客户 端 向 服务 器 发 送 一 个 开始 信息 Hello 包 , 以便 开始 一 个 新 
的 会 话 连 接 ; @ 服 务 器 根据 客户 的 信息 确定 是 否 需 要 生成 新 的 主 密 钥 ,如 需要 则 服务 器 
响应 客户 的 Hello 信息 ,并 生成 主 密 钥 所 需 的 信息 ; @ 客 户 根据 收 到 的 服务 器 响应 信息 ， 
产生 一 个 主 密 钥 , 并 用 服务 器 的 公开 密 钥 加 密 后 传 给 服务 器 ; 田 服 务 器 恢复 该 主 密 钥 ,并 
返回 给 客户 一 个 用 主 密 钥 认证 的 信息 ,以 此 让 客户 认证 服务 器 。 

用 户 认证 阶段 : 在 此 之 前 ,服务 器 已 经 通过 了 客户 认证 ,这 一 阶段 主要 完成 对 客户 的 
认证 。 经 认证 的 服务 器 发 送 一 个 提问 给 客户 ,客户 则 返回 (数字 ) 签 名 后 的 提问 和 其 公 
密 钥 ,从 而 向 服务 器 提供 认证 。 

下 面 来 看 一 个 使 用 Web 客户 机 和 服务 器 的 范例 。Web 客户 机 通过 连接 到 一 个 支持 
SSL 的 服务 器 ,启动 一 次 SSL 会 话 。 支 持 SSL 的 典型 Web 服务 器 在 一 个 与 标准 HTTP 
请 求 (默认 为 端口 80) 不 同 的 端口 (默认 为 443) 上 接受 SSL 连接 请 求 。 当 客户 机 连接 到 
这 个 端口 上 时 , 它 将 启动 一 次 建立 SSL 会 话 的 握手 。 当 握手 完成 之 后 ,通信 内 容 被 加 密 ， 
并 且 执 行 消息 完整 性 检查 ,直到 SSL 会 话 过 期 。 

SSL 握手 过 程 步 又 。 

步骤 1: SSL 客户 机 连接 到 SSL 服务 器 ,并 要 求 服务 器 验证 它 自 身 的 身份 。 

步骤 2: 服务 器 通过 发 送 它 的 数字 证 书证 明 其 身份 。 这 个 交换 还 可 以 包括 整个 证 书 
链 , 直 到 某 个 根 证 书 权威 企业 (CA) ,通过 检查 有 效 日 期 ,确认 证 书 可 信任 CA 的 数字 签 

步骤 3: 服务 器 发 出 一 个 请 求 , 对 客户 端的 证 书 进行 验证 。 但 是 因为 缺乏 公 钥 体系 结 
构 ,当今 的 大 多 数 服务 器 不 进行 客户 端 认证 。 

步骤 4: 协商 用 于 加 密 的 消息 加 密 算法 和 用 于 完整 性 检查 的 哈 希 函数 。 通 常 由 客户 
机 提供 它 支 持 的 所 有 算法 列表 ,然后 由 服务 器 选择 最 强健 的 加 密 算法 。 

步骤 5: 客户 机 和 服务 器 通过 下 列 步 又 生成 会 话 密 钥 。 

客户 机 生成 一 个 随机 数 ,并 使 用 服务 器 的 公 钥 (从 服务 器 的 证 书 中 获得 ) 对 它 加 密 ,发 
送 到 服务 器 上 。 服 务 器 用 更 加 随机 的 数据 (从 客户 机 的 密 钥 可 用 时 则 使 用 客户 机 密 钥 ;和 否 
则 以 明文 方式 发 送 数据 ) 响 应 。 使 用 哈 希 函数 ,从 随机 数据 生成 密 钥 。 

SSL 协议 的 优点 是 它 提供 了 连接 安全 ,具有 3 个 基本 属性 : 

(D 连接 是 私有 的 。 在 初始 握手 定义 了 一 个 密 钥 之 后 ,将 使 用 加 密 算法 。 对 于 数据 加 
密使 用 了 对 称 加 密 ( 例 如 DES 和 RC4); 
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© 可 以 使 用 非 对 称 加 密 或 公 钥 加 密 ( 例 如 RSA 和 DSS) 来 验证 对 等 实体 的 身份 ; 

© 连接 是 可 靠 的 。 消 息 传输 使 用 一 个 密 钥 的 消息 认证 代码 MAC, 包 括 了 消息 完整 
性 检查 。 其 中 使 用 安全 哈 希 函数 (例如 SHA 和 MD5) 来 进行 MAC 计算 。 

HTTPS 协议 基本 知识 

经 常 使 用 网 上 银行 的 朋友 对 “证 书 ” 这 个 词 一 定 不 会 感到 陌生 ,因为 在 登录 网 上 银行 
的 时 候 常 常 被 要 求 验证 数字 证 书 。 其 实 这 是 一 个 非常 有 效 的 安全 措施 ,可 以 最 大 限度 地 
保障 用 户 的 账户 安全 ,而 这 种 安全 就 是 基于 网 络 安全 协议 HTTPS 协议 Secure 
Hypertext Transfer Protocol) 来 实现 的 。 

HTTP 是 超 文本 传输 协议 ,信息 在 Internet 上 是 明文 传输 ,而 HTTPS 则 是 使 用 了 
具有 安全 性 的 SSL 加 密 传输 协议 的 HTTPS 安全 超 文本 传输 协议 ,由 网 景 公 司 开 发 并 
内 置 于 其 浏览 器 中 ,用 于 对 数据 进行 压缩 和 解压 操作 ,并 返回 网 络 上 传送 回 反馈 的 
结果 。 

WWW 服务 是 目前 网 络 中 最 受 欢 迎 的 网 络 服务 之 一 , 它 由 Web 服务 器 、Web 浏览 器 
以 及 通信 协议 三 部 分 组 成 。 而 WWW 服务 使 用 最 多 的 就 是 超 文 本 传输 协议 HTTP 
(Hyper Text Transfer Protocol, HTTP), 因 此 当 用 户 浏览 网 页 时 可 以 在 地 址 栏 看 到 诸如 
http://www. microsoft. com 形式 的 网 址 ,其 中 最 前 面 的 http 就 表明 该 网 站 是 基于 
HTTP 通信 。 使 用 HTTP 在 Web 服务 器 和 Web 浏览 器 之 间 传 输 数 据 时 ,HTTP 首先 将 
Web 浏览 器 的 访问 申请 转换 为 TCP/IP 支持 的 格式 ,并 将 该 申请 发 送 给 Web 服务 器 。 
Web 服务 器 通过 TCP/IP 接收 到 Web 浏览 器 的 申请 后 ,将 应 答 信息 交 给 HTTP, HTTP 
经 过 处 理 返回 给 Web 浏览 器 。 在 整个 传输 过 程 中 数据 都 采用 明文 传输 ,因此 很 容易 被 黑 
客 侦 听 和 窃取 。 由 此 可 见 用 HTTP 在 Internet 上 传输 数据 很 不 安全 。 

HTTPS 实际 上 应 用 了 网 景 公 司 开发 的 安全 套 接 字 层 SSL 协议 ,作为 HTTP 应 用 层 
的 子 层 ,但 HTTPS 使 用 端口 443 ,而 不 是 像 HTTP 那样 使 用 端口 80 来 和 TCP/IP 进行 
通信 。SSL 使 用 40 位 关键 字 作为 RC4 流 加 密 算法 ,适用 于 商业 信息 的 加 密 。HTTPS 和 
SSL 都 支持 使 用 X. 509 数字 认证 ,如 果 需 要 的 话 用 户 可 以 确认 发 送 者 身份 。 

使 用 HTTPS 在 Internet. 上 传输 数据 时 ,发 送 方 先 把 数据 交 给 SSL 协议 进行 加 密 ， 
再 把 密 文 交 由 TCP/IP 在 网 络 上 传输 。 接 收 方 收 到 密 文 后 , 先 提 交 给 SSL 协议 解密 成 
明文 ,然后 再 把 明文 进一步 提交 给 HTTP。 在 这 个 传输 过 程 中 ,数据 是 使 用 密 文 的 形 
式 在 网 络 中 传输 的 ,即使 黑客 窃取 到 传输 的 数据 也 不 易 破 解 , 因 此 数据 的 安全 性 比 
较 高 。 

HTTPS 是 以 安全 为 目标 的 HTTP 通信 ,简单 地 讲 是 HTTP 通信 的 安全 版 。 即 在 
HTTP 通信 中 加 入 SSL 安全 协议 ,HTTPS 的 安全 基础 是 SSL, 用 于 安全 的 HTTP 数据 
传输 。https:URL 表明 它 使 用 了 HTTP, 但 HTTPS 使 用 了 不 同 于 HTTP 的 默认 端口 
及 一 个 加 密 / 身 份 验证 层 ( 在 HTTP 与 TCP 之 间 )。 这 个 系统 最 初 研发 由 网 景 公司 进行 ， 
提供 了 身份 验证 与 加 密 通 信 方 法 ,现在 它 被 广泛 用 于 万 维 网 上 安全 敏感 通信 ,例如 交易 支 
付 方面 。 

注意 : SSL 是 HTTPS 的 灵魂 ,HTTPS 的 安全 性 来 源 于 SSL 加 密 算法 。 目 前 SSL 
使 用 一 个 由 Diffle 和 Hellman 提出 的 称 为 “公开 密 钥 算法 ”的 密码 技术 。 此 技术 基于 所 谓 
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的 密 钥 对 ,由 两 个 不 同 的 密 钥 构成 一 个 密 钥 对 。 如 果 使 用 密 钥 对 的 一 个 密 钥 加 密 数 据 , 它 
就 只 能 用 密 钥 对 的 另 一 个 密 钥 解密 。 密 钥 对 中 的 一 个 密 钥 是 公开 的 ,供用 户 用 来 加 密 数 
据 , 另 一 个 则 是 私有 的 ,用 来 对 公开 密 钥 加 密 的 数据 解密 。 


【实验 原理 】 

锐 捷 SSL VPN 采用 IP Tunnel 技术 ,除了 能 支持 B/S 应 用 ,也 能 够 支持 各 种 C/S 应 
用 ,对 所 有 的 基于 IP 层 以 上 的 静态 或 动态 接口 以 及 端口 应 用 完全 支持 ,包括 网 上 邻居 、 文 
件 共 享 FTP,Outlook,SQL, Lotus NOTES. Sybase 和 Oracle 等 各 种 应 用 。 锐 捷 SSL 
VPN 还 支持 终端 用 户 对 内 网 单 台 机 器 或 保护 子 网 的 访问 。 这 样 公司 员工 无 论 在 哪里 ,只 
要 能 够 通过 Internet 登录 网 通 总 部 SSL VPN, 即 可 访问 内 网 服务 器 资源 ,从 而 达到 正常 
处 理 公司 业务 的 目的 。 

终端 用 户 在 使 用 SSL VPN 的 时 候 , 不 需要 安装 客户 端 ,只 需要 通过 标准 浏览 器 打开 
SSL VPN 的 登录 界面 之 后 ,安装 一 个 ActiveX 控件 ,在 客户 端的 机 器 上 会 自动 生成 一 块 
专门 用 于 SSL VPN 通信 的 虚拟 网 卡 ,从 而 保证 SSL VPN 的 用 户 能 够 使 用 所 有 基于 TP 
网 络 层 的 应 用 。 


【实验 步骤 】 

第 一 步 : 准备 好 PC 和 服务 器 

在 服务 器 PC 上 安装 VPN 管理 软件 。 

具体 的 安装 过 程 不 在 这 里 进行 详 述 。 

第 二 步 : 搭建 拓扑 ,配置 IP 地 址 

按照 如 图 4-88 所 示 拓 扑 图 ,搭建 实验 拓扑 ,并 根据 如 表 4-3 所 示 编 址 方案 ,配置 各 设 
备 的 IP 地址。 


表 4-3 设备 IP 地址 


设 备 接 口 地 m 
ethl 接口 地 址 192.168.1.1 
VPN 网 关 
etho 接口 地 址 10. 1. 1.1 
PC 的 IP 地 址 192.168.2.1 
PC 
PC 网 关 地 址 192.168.2.2 
FTP 服务 器 IP 地 址 10.1.1.2 
FTP 服务 器 
FTP 服务 器 网 关 地 址 10.1, 1. 1 
Web 服务 器 IP 地 址 10.1. 1.3 
Web 服务 器 
Web 服务 器 网 关 地 址 10.1.1.1 
远程 桌面 管理 服务 器 IP 地 址 10. 1.1.4 
远程 桌面 管理 服务 器 = 
远程 桌面 管理 服务 器 网 关 地 址 10. 1. 1.1 
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设 备 接 口 地 址 
F0/0 地 址 192.168.1.2 
Router 
F0/1 地 址 192. 168. 2. 2 


说 明 : PC 及 Router 地 址 的 配置 方式 不 再 详 述 。 


通过 服务 器 的 超级 终端 , 转 入 到 命令 行 下 配置 VPN 网 关上 
所 示 。 


接口 地 址 ,操作 如 图 4-89 


图 4-89 配置 VPN 网 关 的 接口 地 址 


注意 : VPN 网 关 出 厂 时 ethl 口 默 认 地 址 为 192. 168. 1. 
要 在 VPN 网 关 的 ethl 接口 配置 默认 网 关 , 网 关 地 址 为 Rout 

第 三 步 : 配置 SSL VPN 参数 。 

通过 服务 器 上 的 VPN 管理 软件 登录 VPN 网 关 。 

(1) 资源 的 添加 。 

在 VPN 网 关 管 理 界面 目录 树 中 , 单 击 “ 虚 拟 专 用 
网 ”>“SSL VPN" 选 项 ,如 图 4-90 所 示 。 

选择 “SSL VPN” 菜 单 中 “资源 管理 ”项 ,进行 SSL 
VPN Vti 1 ,内 网 服务 资源 包括 FTP 服务 资源 、Web 
服务 资源 、 远 程 桌面 管理 资源 。 单 击 “ 资 源 管理 ”中 的 “ 添 
加 资源 ”按钮 ,可 以 添加 资源 。 如 图 4-91 所 示 配 置 为 添 
加 内 网 FTP 服务 资源 。 
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图 4-90 打开 SSL VPN 配置 
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继续 如 图 4-92 所 示 配 置 ,为 添加 内 网 Web 服务 资源 。 
继续 如 图 4-93 所 示 配 置 ,为 添加 内 网 远程 桌面 管理 服务 资源 。 


篇 辑 资源 Lii] 添加 资源 

T E 

资源 名 称 : [eode 资源 名 称 : 52 gens pes 桌面 管理 服务 

FC 主机 资源 一 一 一 一 个 主机 资源 一 一 一 一 一 一 [个 主机 资源 一 | 

主机 地 址 ; 主机 地 址 ; 主机 地 址 ; [ 

[C FA ————————— 1 ROCHE — ——— ———5i pO — — 

子 网 地 址 ; [^ | 0 I^ I^ 子 网 地 址 ? o 0 0 0 子 网 地 址 ; [^ I^ [^ [e 

FARB: E [5 [^ [^ ira E a a FARS: E | LU [^ [^ 
c6 meum e 服务 资源 一 一 一 一 一 一 一 一 一 


资源 地 址 :10-114 
服务 类 型 : sese z 


协议 : [TcP O muke ë H 
服务 端口 :20-21.1024-5000 | Bso o o o Wemn:pss i 
( 端口 格式 : 21;80;23 或 21-80;23) ( 端口 格式 : 21:80;238221-80;23) 《端口 格式 : 21;80;23 或 21-60;23) 
weme:pur [ 训 览 ] 程序 路 径 : [PE BERG: 
程序 参数 :mL o ersa: [uL 程序 参数 : 
E I E i E —1 
n 加 加 
Ro] 
图 4-91 添加 内 网 FTP 图 4-92 添加 内 网 Web 图 4-93 添加 内 网 远程 桌面 
服务 资源 服务 资源 管理 服务 资源 


添加 服务 资源 成 功 后 ,资源 列表 显示 如 图 4-94 所 示 。 


n x im * + 
添加 资源 删除 资源 编辑 资源 资源 上 称 资源 下 移 


[ TF Mg 服务 资源 112 255.255 255.255 | FTP TCP:20-21 ; 1024-5000 
哪 2 起 “bt 服 务 服务 资源 10113 255. 255. 255.255 | HTTP TCP:80 
Wo A 远程 点 面 管理 服务 “服务 资源 00114 255.255.255.255 |NSTSC | TCP:3389 


BRE 
BEER 


图 4-94 成 功 添加 服务 资源 


(2) 远程 用 户 管理 。 

在 图 4-90 VPN 网 关 管 理 界 面目 录 树 中 ,选择 “SSL VPN”, 单 击 “ 远 程 用 户 管理 ”, 弹 
出 “远程 用 户 管 理 ” 窗 口 , 如 图 4-95 所 示 。 其 中 “本 地 认证 数据 库 ” 中 管理 的 用 户 就 是 网 关 
本 地 用 户 , 这 些 用 户 会 自动 出 现在 用 户 管理 的 本 地 认证 数据 库 用 户 栏 中 。 


系统 信息 远程 用 户 管理 | 


a 5S 第 «6 


认证 参数 。 本 地 用 户 数 APER ERAP ”内 部 DNS 服务 ”内 部 WINS 服 SSL 用 户 特征 
"x 器 务 器 E 


图 4-95 配置 远程 用 户 管理 
在 “本 地 用 户 数 据 库 ”打开 窗口 中 ,添加 本 地 用 户 1a, 该 用 户 为 SSL VPN 登录 用 户 ， 
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添加 la 用 户 ,并 设置 相应 的 口令 .其 中 口令 自 定义 ,如 图 4-96 所 示 。 


本 地 用 户 数据 库 
0TFP 认 证 和 PAF 认 证 所 用 的 用 户 数 据 库 。 
[IER — ——————— = 
RP&: |. 


BPnep: [e — 


WUSW: [f 


Pig — — — — — —3À 
G 人 允许 用 户 登录 


C RAPER 


图 4-96 在 本 地 用 户 数 据 库 中 添加 本 地 用 户 


在 本 地 用 户 数据 库 中 添加 本 地 用 户 添 加 成 功 后 ,如 图 4-97 所 示 。 


[3 a i a a a 
BEREA BMAP  SBAP SEAP SAMPAR 。 导出 用 户 列表 


| 1 普通 用 户 la m o ftit Ax 


图 4-97 成功 在 本 地 用 户 数据 库 中 添加 本 地 用 户 


在 如 图 4-95 所 示 的 “远程 用 户 管理 ”对 话 框 中 选择 用 户 管理 "图标 ,把 1a 用 户 从 本 
地 数据 库 加 入 SSL VPN 用 户 , 如 图 4-98 所 示 。 


gx 
SSLVPN 用 ， 从 文件 导入 和 手动 添加 
at, ii RD C ERA Ü 
| 用 户 管理 
当前 SSLVPN 用 户 : mM 


[camma] 
(nre) 


图 4-98 用 户 从 本 地 数据 库 加 入 SSL VPN 
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(3) 分 配 用 户 和 资源 。 

在 如 图 4-90 所 示 VPN 网 关 管 理 界面 中 ,选择 SSL VPN>“ 用 户 组 管理 ”项 ,打开 “用 
户 组 管理 ”界面 。 用户 组 管理 分 为 三 大 部 分 ,添加 用 户 组 ,为 用 户 组 分 配 用 户 和 为 用 户 组 
分 配 资源 。 添 加 一 组 名 为 1 的 用 户 组 ,如 图 4-99 所 示 。 

分 配 用 户 组 用 户 资源 成 功 后 ,如 图 4-100 所 示 。 


[一 一 一 一 
[Wa 国 


| 任意 地 址 z] 
Iv 显示 主机 资源 


图 4-99 添加 用 户 组 资源 图 4-100 成 功 为 用 户 组 用 户 分 配 资源 添加 


选中 如 图 4-101 所 示 要 进行 分 配 用 户 的 用 户 组 ,再 单 击 工具 栏 中 的 “分 配 用 户 " 按 钮 ， 
就 可 以 对 选中 的 组 进行 用 户 分 配 ,选中 la 用 户 。 

选中 要 进行 分 配 用 户 的 用 户 组 ,再 单 击 工具 栏 中 的 “分 配 资源 "按钮 ,可 以 为 用 户 组 分 
配 已 存在 的 资源 ,选中 刚才 添加 的 3 个 内 网 服务 资源 ,如 图 4-102 所 示 。 


图 4-101 进行 用 户 分 配 图 4-102 添加 内 网 服务 资源 


分 配 用 户 和 添加 内 网 服务 资源 成 功 后 ,如 图 4-103 所 示 。 

(4) SSL VPN 用 户 特 征 码 设 置 。 

在 如 图 4-90 所 示 SSL VPN 管理 菜单 上 选择 “SSL VPN” 项 中 “远程 用 户 管理 ”项 ,在 
打开 的 “远程 用 户 管理 ”对 话 框 中 选择 “SSL 用 户 特征 码 表 ”, 把 用 户 接 入 策略 由 “禁止 接 
入 ” 改 为 “允许 接 入 ”. 如 图 4-104 所 示 。 
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n x zm n G 3n 
添加 用 户 组 MRAP 。 编辑 用 户 组 。 “时间 对 象 。 ”地 址 对 和 象 分 配 用 户 


C RHEA G GERE C 允许 接 入 并 自动 定 


图 4-104 修改 用 户 接 入 策略 


(5) 参数 设置 。 

进入 参数 设置 的 工作 界面 中 ,如 图 4-105 所 示 , 可 以 进行 如 下 操作 。 

(D SSL 隧道 设置 : 可 设置 SSL 隧道 通信 协议 的 类 型 (目前 主要 支持 协议 为 UDP 和 
TCP 方式 ) SSL 隧道 监听 的 端口 .是否 采用 加 密 及 验证 算法 ; 

© 虚 IP 地 址 池 : 这 些 地 址 将 用 于 对 登录 SSL VPN 的 用 户 分 配 虚 拟 IP 地 址 ; 

O 连接 超时 : 这 个 超时 时 间 用 于 限制 用 户 连 续 两 次 单 击 页 面 之 间 的 间隔 时 间 , 如 果 
用 户 在 这 个 间隔 时 间 内 没有 进行 操作 ,网关 会 将 其 视 为 超时 ; 

CD 定制 界面 : 可 以 设置 Logo 图 片 及 客户 端 浏 览 器 的 标题 栏 信息 ,如 图 4-106 
所 示 o 

上 述 参 数 可 以 根据 用 户 实际 需求 改变 ,一 般 情况 下 不 需要 更 改 ,保持 默认 设置 
即 可 。 

第 四 步 : SSL VPN 用 户 登 录 。 

(1) 插件 与 SSL VPN 客户 端 程序 的 安装 。 

在 验证 PC 的 浏览 器 地 址 栏 中 输入 https://192. 168. 1.1, 访 问 SSL VPN 的 登录 页 
面 。 有 三 种 登录 方式 ,此 实验 只 选择 用 户 名 口令 方式 登录 。 单 击 该 方式 ,将 出 现 如 

4-107 所 示 的 登录 提示 框 。 
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参数 设置 参数 设置 

3 定制 界面 SSL 隆 道 设置 tm 
SUN 道 设置 | 当前 LOGO 图 片 (200x60]: 
SS5L 隧 道 通信 协议 : INENEEEN > 


Cus 


xus: [5 o ë d 使 用 缺 省 LD60 图 片 
大 Pl 址 油 SAREE: 
Fm: 0 1 .0 .0 


Bema ooo 


文件 到 ) MEO FEV KRA IAV WHW 

O7 -0-A nra OD m  É — 
BE  https://192. 168.1. 1/cgi-bin/login cgi 

Baise "| 名 | -|G O w a|n- Om- D- 0 


欢迎 进入 SSL VPN 


> 
QJ SECWAY Suis. 


SecWay Co., Ltd. 版 权 所 有 


图 4-107 SSL VPN 的 登录 页 面 


如 果 首 次 使 用 SSL VPN, 输 入 用 户 1a 正确 的 信息 : 用 户 名 口令 及 验证 码 , 单 击 登 
3 ,系统 会 自动 安装 插件 和 SSL VPN 客户 端 ,如 图 4-108 所 示 。 

正确 登录 后 ,系统 提示 安装 插件 和 SSL VPN 客户 端 ,如 图 4-109 所 示 。 

弹出 如 下 窗口 时 , 单 击 “ 仍 然 继续 ”按钮 ,如 图 4-110 所 示 。 

完成 SSL VPN 客户 端的 安装 。 

(2) 内 部 资源 的 访问 。 

在 安装 完 插件 和 SSL VPN 客户 端 后 ,客户 端 登录 成 功 ,在 浏览 器 的 服务 资源 列表 中 
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用 户 名 ， 
-全 sscwavs » 
验证 码 ， pulgones 
Lxx] [s 


SecWay Co., Ltd. 版 权 所 有 
注意 : 为 获得 最 佳 浏览 效果 ， 请 使 用 IE6.0 1024*7 68000. 


图 4-108 输入 用 户 正确 登录 的 信息 


图 4-109 提示 安装 插件 和 客户 端 


1 正在 为 此 硬件 安装 的 软件 : 
Virtual Network Adapter V8 


memo | 
图 4-110 安装 插件 和 客户 端 


可 以 看 到 能 够 访问 的 服务 器 资源 ,如 图 4-111 所 示 。 
内 网 FTP 服务 资源 的 访问 : 直接 单 击 浏览 器 的 服务 资源 列表 中 的 “FTP 服务 资源 ”， 
即 可 对 内 网 FTP 服务 器 进行 下 载 、 上 传 . 删 除 等 操作 ,如 图 4-112 所 示 。 
内 网 Web 服务 资源 的 访问 : 直接 单 击 浏览 器 的 服务 资源 列表 中 的 “Web 服务 资源 ”， 
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E) 可 用 资源 
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E spmeiüs 
回 namste ELIT] Wi [rz] L3 ELLO] 
回 ERES Ld j3jo112 FTP NULL xe I 
月 户 帮 助 Web 服务 B0113 HTTP NULL. ara T 
El - < 
远程 吉 面 管理 服务 3]io144 MSTSC NULL R 

T bj zam 

欢迎 使用 89LVPN 
用 户 各 : 1a 


用 户 IP : 192168.1.205 
日 期 : 2008 年 5 月 26 日 


图 4-111 浏览 器 的 服务 资源 列表 中 
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图 4-112. 内 网 FTP 服务 资源 的 访问 


即 可 访问 内 网 Web 服务 资源 10. 1. 1. 3, 如 图 4-113 所 示 。 
内 网 远程 桌面 管理 服务 资源 的 访问 : 在 Windows 系统 PC 上 的 远程 桌面 连接 程序 ， 


在 地 址 栏 中 输入 10. 1. 1.4, 单 击 “ 连 接 ” 按 钮 , 即 可 成 功 连接 到 需要 访问 和 操作 的 内 网 服 
务 器 ,如 图 4-114 所 示 。 


【注意 事项 】 
。 在 下 浏览 器 的 URL 地 址 栏 中 ,必须 输入 https://192. 168. 1. 1, 而 非 http:// 


192. 168. 1. 1. 
。 网 关上 “SSL VPN 用 户 特征 码 设置 ?选项 默认 配置 为 “禁止 接 人 ”, 必 须 改 为 “允许 
接 人 ”, 和 否则 客户 端 无 法 登录 成 功 。 
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图 4-113. 内 网 Web 服务 资源 的 访问 


图 4-114 内 网 远程 桌面 管理 服务 资源 的 访问 


客户 端 软件 安装 过 程 中 ,弹出 如 图 4-115 所 示 “ 硬 件 安装 ”提示 窗口 ,必须 单 击 “ 仍 
然 继续 ”按钮 ,否则 客户 端 登录 不 成 功 。 

如 出 现 客户 端 或 插件 无 法 自动 安装 ,请 检查 客户 端 PC 是 否 因为 防火 墙 阻止 了 其 
安装 。 

如 发 现 客户 端 登录 后 访问 资源 不 成 功 , 且 客 户 机 任务 管理 器 中 无 sslvpn. exe 进 
程 ,请 印 载 SSL VPN 客户 端 后 重新 安装 。 

在 网 关 本 地 数据 库 中 添加 用 户 后 ,必须 单 击 “用 户 生 效 ? 按 钮 ,否则 用 户 无 法 登录 
SSL VPN。 
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A 正在 为 此 硬件 安装 的 软件 : 


Virtual Network Adapter V8 


图 4-115 “硬件 安装 ”提示 窗口 


44 HÆ SSL VPN 单 辟 通信 实验 . 


【实验 名 称 】 
构建 SSL VPN 单 臂 通信 。 


【实验 目的 】 
学 习 配 置 SSL VPN 隧道 ,掌握 SSL VPN 单 臂 方式 接 入 拓扑 ,加 深 对 SSL VPN 的 
理解 。 


【背景 描述 】 

某 公司 内 部 网 络 结构 以 及 TP 划分 极为 复杂 ,该 公司 希望 在 不 改变 现在 网 络 拓扑 的 情 
况 下 ,在 局 域 网 内 部 以 单 臂 路 由 方式 接 入 一 台 SSL VPN 设备 ,使 得 外 网 用 户 通过 登录 该 
设备 来 访问 公司 内 部 资源 。 

【需求 分 析 】 

需求 : 在 不 改变 现 有 网 络 拓 扑 情 况 下 , 单 臂 方式 接 入 SSL VPN, 使 得 外 网 用 户 登 录 
并 且 通 过 该 设备 访问 内 部 资源 。 

分 析 : SSL VPN JH IP Tunnel 技术 ,支持 B/S 应 用 ,也 支持 各 种 C/S 应 用 ,对 所 有 
基于 IP 层 以 上 静态 或 动态 接口 以 及 端口 应 用 完全 支持 ,包括 网 上 邻居 文件 共享 .FTP、 
Outlook, SQL,Lotus Notes, Sybase, Oracle 等 各 种 应 用 。 锐 捷 SSL VPN 还 支持 终端 用 
户 对 内 网 单 台 机 器 或 受 保护 子 网 的 访问 。 

终端 用 户 在 使 用 锐 捷 SSL VPN 的 时 候 , 不 需要 安装 客户 端 程序 ,只 需要 通过 标准 浏 
览 器 打开 SSL VPN 的 登录 界面 之 后 ,从 而 保证 锐 捷 SSL VPN 的 用 户 能 够 使 用 所 有 基于 
IP 网 络 层 的 应 用 。 使 用 SSL VPN 网 关 与 自身 防火 墙 功能 结合 ,实现 单 臂 路 由 方式 。 


【实验 拓扑 】 
如 图 4-116 所 示 网 络 拓扑 ,是 某 公 司 上 海 分 公司 内 部 网 络 。 公 司 内 部 网 络 结构 以 及 
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IP 规划 极为 复杂 ,公司 希望 在 不 改变 现在 网 络 拓 扑 的 情况 下 ,在 局 域 网 内 部 以 单 臂 路 由 
方式 接 入 一 台 SSL VPN 设备 ,使 得 外 网 用 户 通过 登录 该 设备 来 访问 公司 内 部 资源 ,实现 
分 公司 和 总 公司 之 间 信息 共享 。 


FTP 服 务 器 
10.1.1.2 


192.168.1.2 192.168.1.1 
10.1.11 WINS 服 务 器 


10.1.1.3 


HP PC SSLVPN 
V1000 
10.14 


图 4-116 构建 SSL VPN 单 臂 通信 网 络 拓扑 


为 解决 上 海 分 公司 和 北京 总 公司 之 间 ,通过 Internet 进行 数据 传输 的 安全 问题 。 公 
司 希望 通过 VPN 技术 ,不 改变 现 有 网 络 拓扑 , 单 臂 方式 接 人 SSL VPN ,使 得 外 网 用 户 登 
录 并 且 通 过 该 设备 访问 内 部 资源 ,有 效 保证 数据 在 Internet 网 络 传输 的 安全 问题 。 

【实验 设备 】 

RG-WALL V1000 VPN 网 关 : 1 台 ; RG-WALL V50 VPN 网 关 : 1 台 ; 交 换 机 : 1 
台 ;PC: 3 REER: 2 根 ;交叉 线 : 2 根 。 


【实验 原理 】 

用 户 在 Windows 系统 PC 上 访问 SSL VPN 指定 站 点 ,通过 特定 的 登录 方式 登录 
SSL VPN ,安装 相关 的 系统 插件 和 SSV LPN 客户 端 ,登录 成 功 后 用 户 和 VPN 设备 之 间 
会 建立 SSL VPN 加 密 隧道 ,从 而 实现 访问 VPN 内 网 资源 的 目的 。 


【实验 步骤 】 

第 一 步 : 准备 好 PC 和 服务 器 。 

在 服务 器 PC 上 安装 VPN 管理 软件 ( 见 随机 附带 的 光盘 ,此 处 不 再 详 述 ) 。 

第 二 步 : 搭建 拓扑 ,配置 IP 地 址 。 

按照 如 图 4-116 所 示 拓 扑 图 ,搭建 实验 拓扑 ,并 根据 如 表 4-4 所 示 编 址 方案 ,配置 各 
设备 的 IP 地 址 。 


表 4-4 设备 IP 地 址 


设 备 接 口 地 址 
ethl 接口 地 址 192.168.1.1 
V50 VPN 网 关 
etho 接口 地 址 10.1.1.1 
ethl 接口 地 址 10.1.1.4 
V1000 VPN 网 关 
etho 接口 地 址 10, 1.1.1 
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续 表 
设 备 接 H Jb 址 

PC 的 IP 地 址 192. 168. 1. 2 
PC 

PC 网 关 地 址 192.168.1.1 

服务 器 的 IP 地 址 10. 1.1.2 
FTP 服务 器 

服务 器 网 关 地 址 10; 1.1. 1 

服务 器 的 IP 地 址 10.1.1.3 
Web 服务 器 

服务 器 网 关 地 址 10; 1. 1.1 


说 明 : PC X Router 地 址 的 配置 方式 不 再 详 述 。 


CD 通过 PC 的 超级 终端 ,在 命令 行 下 配置 VPN 设备 V50 VPN 的 ethl 口 地 址 , 操 


作 如 图 4-117 所 示 。 


ancel 


Ye 


Enter mean: 


DHCP, 3: PPPoF, 4: TnBridge, F 


jefoult gate: 


1509, Enter 


[Lsadn@RG-HALL (Ne 


图 4-117 配置 V50 VPN 网 关 的 接口 地 址 


注意 ; VPN 出 厂 时 ethl 口 默认 地 址 即 为 192. 168. 1. 1, 因 此 可 以 先 查看 接口 配置 ， 


如 果 的 确 如 此 , 则 可 以 免 去 该 配置 步骤 。 


(2) 通过 PC 上 的 VPN 管理 软件 登录 VPN 设备 V50 VPN ,选择 管理 界面 上 “网 络 
接口 ?项 ,然后 选择 “etho 口 ? 图 标 ,双击 打开 配置 eth0 口 地 址 ,如 图 4-118 所 示 。 


在 打开 的 “eth0 口 ” 对 话 框 中 ,设置 etho 口 地 址 ,如 图 4-119 所 示 。 
(3) 验证 测试 。 

通过 PC 可 以 ping ii VPN 设备 V50 VPN 的 ethl 口 ; 

通过 VPN 设备 V50 VPN 可 以 ping ili FTP 和 Web 服务 器 。 

第 三 步 : 按照 搭建 拓扑 ,配置 V1000 VPN 网 关 IP 地 址 。 


通过 PC 的 超级 终端 ,在 命令 行 下 配置 VPN 设备 V1000 VPN 的 ethl 口 地 址 ,操作 


如 图 4-120 所 示 。 
第 四 步 : SSL VPN 参数 配置 。 


登录 网 关 10. 1. 1. 4 地 址 的 V1000 VPN, 配 置 其 SSL VPN 各 项 参数 信息 。 


COD. 资源 的 添加 。 
在 登录 网 关 10. 1. 1.4 地 址 的 V1000 VPN 网 关 管 理 界 面目 录 树 中 , 单 


u 


Er 


“虚拟 专用 
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系统 @) Sete 设备 升级 四 ¥ 助 中 
i39 & &| ag 


[ETT umm Maroj 

c £A Bet A 
Nu 
EB pago 


链 路 保障 
HE Bme 


P 好 管理 
A, nz 
*) mm 设置 
3 拨号 服务 器 
€ FF? 用户 管理 
Ə Dr 服务 器 


m 
停 月 接口 


直接 双击 eth0 
接口 图 标 


E rate 
Jp *RTR 网 结 接口 状态 
S-P 用 户 认证 


C Enz EERE emee | 


图 4-118 配置 VPN 网 关 V50 VPN 的 接口 地 址 


* 规 [TOES | munem | FRO 


C 无 配置 
C 目 动 获 香 IF 地 址 


C PORE 
IP 地 址 : 10 .1 1 


zug: | 255. 255 . 255 0 


外 出 网 关 : 10 1 H 2 


C PPPERS 
C maa 


MERE: poo 117255, 数值 越 大 权重 越 高) 


确定 | [&o] 


图 4-119 配置 VPN 网 关 V50 VPN 的 接口 地 址 


dn@RG-WALL I]¥ network 
dn@RG-WALLCNetuork) ]# interface 
rface to set Cethü, ethi, Enter means cancel): 
ng up onboot? (8: No, i: Yes, Enter means Yes) 
Jork mode <Ø: UnCfg, i: Manual, 2: DHCP, 3: PPPoE, 4: InBridge, 
IP-Address Gooxs00x.09x.000 = 
oox yoox-xxx xxx。Enter means 255.0.0.0): 
atellay Kxoox-xoxx-xxx-xXxx。 Enter means no default gateway in this network): 
xx:xx, Enter means use MAC Address of device): 


TU «68-1588, Enter means use MIU of device): 


[Link-Guarantee Weight (1-255, Enter means 19K 


图 4-120 配置 V1000 VPN 的 ethl 口 地 址 
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网 ”>SSL VPN ,如 图 4-121 所 示 。 


E- Wm 虚拟 专用 网 
在 如 图 4-121 所 示 的 界面 上 ,选择 SSL VPN 下 拉 栏 marom 
“资源 管理 "项 中 进行 SSL VPN 资源 添加 ,内 网 服务 资源 包 
15 FTP 服务 资源 、Web 服务 资源 .远程 桌面 管理 资源 。 和 
单 击 “ 资 源 管理 ”工具 栏 中 “添加 资源 ”按钮 ,可 以 添加 d ere 


资源 。 如 图 4-122 所 示 ,配置 添加 内 网 FTP 服务 资源 。 图 4-121 
如 图 4-123 所 示 ,配置 添加 内 网 Web 服务 资源 。 


篇 辑 资 源 


SSL VPN 参数 配置 


编辑 资源 


[光源 一 一 一 一 一 一 一 一 一 一 [资源 一 一 一 一 一 一 一 一 一 一 
资源 名 称 : [eode 资源 名 称 : ux 


[主机 资源 一 一 一 一 一 一 一 一 | FC 主机 资源 一 一 一 一 一 一 一 一 | 

主机 地 址 ; 主机 地 址 

rC THEME FC HB — — — —À 

2 EE EE EE 2 o o EN 

zaal e e eTe sa T° T° T° 

[6 服务 资源 | [C BS58 — | 
资源 地 址 :io.1.1.2 资源 地 址 : [10.1. 1.3 
服 和 类 型 :FF ë 


LES Hi 司 
Voi : [ce 司 


服务 端口 :|20-21;1024-5000 


(端口 格式 : 21;80;23 或 21-60;23) 
sese [o 
程序 参数 : NULL. 


E i 
n 


( 端口 格式 : 21; 80;23 或 21-80;23 ) 
erme: [n 
程序 参数 : mL 


E i 
Hn 


图 4-122 添加 资源 图 4-123 配置 内 网 Web 服务 资源 


图 4-124 所 示 为 添加 成 功 后 资源 列表 。 


isl $ n . 
添加 资源 upeeus La Nie ITE 
F E —— — T3 W AE 


哪 ! A coms 服务 资源 10 i 2 255.255.255.255 FIP | TCP:20-21; 1024-5000 
Æ: Ås 服务 资源 10.1.1.3 255.255.255.255 | HTTP TCP:80 
So A 远程 点 面 管理 服务 ”服务 资源 10114 255. 255. 255. 255 — MSTSC 


图 4-124 添加 成 功 后 资源 列表 
(2) 远程 用 户 管理 。 


在 如 图 4-121 所 示 界 面 上 ,选择 “SSL VPN” 下 拉 栏 中 “远程 用 户 管理 ”项 ,打开 “远程 
用 户 管理 ”窗口 ,如 图 4-125 所 示 。 


系统 信息 运程 用 户 管理 | 


p OS Egge 


认证 参数 HAPS MAPES GAP 内 部 DNS 服务 ”内 部 YINS 服 ”SSL 用 户 特 征 
mE 器 $8 BE 


4-125 远程 用 户 管理 
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“本 地 认证 数据 库 ” 中 用 户 就 是 网 关 本 地 用 户 ， 


添加 用 户 
打开 “远程 用 户 管理 "中 “本 地 用 户 数据 库 ”, 这 些 用 | am pm 
户 会 自动 出 现在 用 户 管理 的 本 地 认证 数据 库 用 户 。 | ppp eue 


gp. 

在 打开 的 “本 地 用 户 数据 库 ” 中 ,添加 本 地 用 户 
1a, 该 用 户 为 SSL VPN 登录 用 户 , 添 加 用 户 名 为 la 
用 户 , 并 设置 相应 的 口令 ,口令 自 定义 ,如 图 4-126 


APW: |ie 
用 户口 令 @): fe 
确认 口令 B): [j 


户 权限 - 
Br. C 区 许 用 户 登 录 
添加 本 地 用 户 1a 成 功 后 ,如 图 4-127 所 示 。 eumd: 


在 如 图 4-125 所 示 “ 远 程 用 户 管理 ”界面 上 ,在 
“远程 用 户 管理 ?对 话 框 中 ,打开 * 用 户 管理 ?项 ,把 la 
用 户 从 本 地 数据 库 添 加 到 SSL VPN 用 户 中 , 如 
图 4-128 所 示 。 图 4-126 添加 本 地 用 户 

(3) 分 配 用 户 和 资源 。 

在 如 图 4-121 所 示 登 录 网 关 10. 1. 1. 4 地 址 V1000 VPN 网 关 管理 界面 中 ,选择 “虚拟 
专用 网 ”>SSL VPN. 


n 


图 4-127 添加 本 地 用 户 成 功 


用 户 管理 
提示 : . E 
时 
用 户 管理 
当前 SSL YPN 用 户 ; 本 地 认证 数据 库 用 户 : 
[APZ 。 ”| 短信 校 验 | 手机 号 à 
s a 
> 删除 
LE m 


x 闭 局 


图 4-128 ”选择 “用 户 管理 ” 


在 目录 树 上 选中 “用 户 组 管理 ”项 ,打开 “添加 用 户 组 ”管理 界面 ,如 图 4-129 所 示 , 用 
户 组 管理 分 为 三 大 部 分 : 添加 用 户 组 ,为 用 户 组 分 配 用 户 和 为 用 户 组 分 配 资源 。 如 
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图 4-129 所 示 ,为 “用 户 组 管理 ”添加 一 名 字 为 1 的 用 户 组 。 
添加 成 功 后 ,如 图 4-130 所 示 。 


MAPE 


Ris: [il 


区 许 登 录 时 间 : | 所 有 时 间 可 
允许 登录 地 址 : [任意 地 址 zi n X am n n 


I 显示 主机 资源 添加 用 户 组 Lusia: ENSE 时 间 对 象 。 ”地 址 对 象 


E EE TT 


图 4-129 添加 用 户 组 图 4-130 用户 组 添加 成 功 


在 如 图 4-130 所 示 界 面 上 ,选中 要 进行 分 配 用 户 的 用 户 组 ,再 单 击 工 具 栏 中 的 “分 配 
用 户 ” 按 钮 ,就 可 以 对 选中 的 组 进行 用 户 分 配 , 选 中 1a 用 户 , 如 图 4-131 所 示 。 

在 如 图 4-131 所 示 界 面 上 ,选中 要 进行 分 配 用 户 的 用 户 组 ,再 单 击 工具 栏 中 的 “分 配 
资源 "按钮 ,可 以 为 用 户 组 分 配 已 存在 的 资源 ,选中 刚才 添加 的 3 个 内 网 服务 资源 ,如 
图 4-132 所 示 。 


[ss ] (ss | 
[sso] [mmo | 
图 4-131 选择 用 户 组 分 配 资源 图 4-132 用 户 组 分 配 资源 成 功 


如 图 4-133 所 示 界 面 为 分 配 用 户 和 资源 成 功 后 。 

(4) SSL VPN 用 户 特征 码 设 置 。 

在 图 4-125 所 示 “ 远 程 用 户 管理 ”对 话 框 中 .选择 *SSL 用 户 特征 码 表 ”项 ,把 用 户 接 入 
策略 由 “禁止 接 入 ” 改 为 “允许 接 入 ”, 如 图 4-134 所 示 。 
(5) 参数 设置 。 
在 如 图 4-125 所 示 “ 远 程 用 户 管理 ”界面 上 ,选择 “认证 参数 ”项 ,在 打开 参数 设置 的 工 
作 界 面 中 ,如 图 4-135 所 示 , 可 以 进行 如 下 操作 。 

(D SSL 隧道 设置 : 可 设置 SSL 隧道 通信 协议 的 类 型 ,目前 主要 支持 协议 为 UDP 和 
TCP 方式 ,SSL 隧道 监听 的 端口 ,是否 采用 加 密 及 验证 算法 ; 

© Ë IP 地 址 池 : 将 用 于 对 登录 SSL VPN 的 用 户 分 配 虚拟 IP 地 址 ; 

© 连接 超时 : 用 于 限制 用 户 连 续 两 次 单 击 页 面 之 间 的 间隔 时 间 ,如果 用 户 在 这 个 间 
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| 
ps] x 3n n GB ED 

添加 用 户 组 删除 用 户 组 SEAP 。 “时 间 对 和 象 。 ”地 址 对 象 分 配 用 户 
1 c n 
n 
分 配 资源 
1 å ftp 服 务 
2 FN web 服 务 
3 å 远程 点 而 管理 服务 


图 4-134 选择 “SSL 


隔 时 间 内 没有 进行 操作 ,网 关 会 将 其 视 为 超时 。 


在 如 图 4-135 所 示 界 面 上 ,选择 “定制 界面 "项 ,可 以 设置 Logo 图 片 及 客户 端 浏 览 器 


的 标题 栏 信息 ,如 图 4-136 所 示 。 


SSUMBEBE ooo aA 


S5| 陪 道 通信 协议 : [US 
ssaa: [595 
加 密 算法 : |AES-128-CEC 了 
MENA: [SH zi 


了 


图 4-135 ”选择 “认证 参数 ” 
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用 户 特征 码 表 ” 


| ssabina | 定制 下面 | 
当前 LOGO 图 片 (200x60) : 


Cem 


med LOGRA 
输入 标识 文字 : 
penaa 


图 4-136 ”选择 “定制 界面 ” 
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上 述 参 数 根 据 用 户 实际 需求 改变 ,一 般 情况 不 需要 更 改 , 保 持 默 认 设 置 即 可 。 
(6) 配置 VPN 设备 V1000 VPN 地 址 转换 NAT 参数 。 


登录 网 关 10. 1. 1. 4 地 址 的 V1000 VPN 网 关 , 在 打开 的 目录 树 管理 界面 中 , 单 击 “ 防 
火 墙 " 一 “新 建 防 火 墙 规 则 ”, 配 置 如 图 4-137 所 示 的 信息 。 


规则 名 称 w far 
位 zol zl 
[规则 状态 
c BR [E 禁用 
- que 
E 目的 对 象 
W: [rr w 类 型 中; [rr - 
ze. [meu — - amw: [emu — -] 
网 络 服务 @@) ，[ 所 有 服务 了] MaD: [所 有 时 间 zl 
AEO 日 志 中 w 
C 拒绝 G 不 记录 CORE 
CR 
G fte C 记录 并 报警 com 
risen 目的 转换 
HERRAN W) 地 址 转换 闫 型 QD 
CTRA G TRR 
C 按 和 转发 接口 自动 转 执 CORNERS 
G ENRHA EE  — 1 
d momuwR -] pM 
q 由 | russo 
v KOE: (155535) 


图 4-137 新 建 防火 墙 规则 


登录 网 关 10. 1. 1. 4 地 址 的 V1000 VPN 网 关 , 在 打开 的 目录 树 管理 界面 中 , 单 击 “ 防 
火 墙 ”一 “安全 参数 ”, 如 图 4-138 所 示 配 置 。 


Fee 
£2 Aena 
Qi gne 
Ba 虚拟 专用 同 
y 防火 寺 | 
quas maok ë Ba 
EEEE] ww: P 分 二 
AC IPSec VPD (ES dit 
Scri c A 人 直接 放行 C 按 规 则 处 理 
LE ad e C 
Q FESS CSS mbi aa dies 
r 启用 WAT 增强 伪装 
[som ][ wc ][ ww | 


图 4-138 配置 防火 墙 规则 参数 
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CD 配置 VPN 设备 V50 VPN 地 址 转换 MAP 映射 。 

打开 V50 VPN 设备 ,登录 管理 界面 ,在 VPN 设备 V50 上 配置 MAP 映射 ,使 得 外 网 
用 户 能 通过 映射 登录 VPN 设备 V1000。 

登录 V50 VPN 网 关 , 在 打开 的 目录 树 管理 界面 中 , 单 击 “ 防 火 墙 ">“ 安 全 参数 ”, 首 
先 选择 *IP 地 址 对 象 ”, 打 开 “ 添 加 IP. 地 址 对 象 成 员 ” 对 话 框 ,在 打开 的 防火 墙 IP 地 址 对 
象 中 ,添加 VPN 设备 V1000 的 IP 地 址 ,如 图 4-139 所 示 。 然 后 在 “转换 地 址 对 象 ” 中 , 双 
击 打开 “添加 转换 地 址 对 象 成 员 ” 对 话 框 ,添加 192. 168. 1. 0 网 段 内 一 任意 空闲 IP 地 址 ， 
作为 10.1.1.4 的 映射 地 址 ,如 192.168.1.4, 如 图 4-140 所 示 。 


poe  ——RER2TTTTTTÀ 


图 4-139 添加 VPN 设备 V1000 的 IP 地 址 


图 4-140 ”添加 转换 地 址 对 象 成 员 


登录 V50 VPN 网 关 , 在 打开 的 目录 树 管理 界面 中 , 单 击 “ 防 火 墙 ">“ 新 建 防火 墙 规 
则 ”, 最 后 配置 防火 墙 MAP 映射 规则 ,如 图 4-141 所 示 。 
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厂 RoR 


Kd 4-141 配置 防火 墙 MAP 映射 规则 


第 五 步 : SSL VPN 用 户 登 录 。 

CD 为 客户 端 设备 安装 插件 与 SSL VPN 客户 端 程序 的 安装 。 

在 接 入 PC 的 浏览 器 地 址 栏 中 ,输入 登录 https://192. 168. 1.4, 访 问 SSL VPN 的 登 
录 页 面 。 提 供 有 三 种 登录 方式 ,此 实验 只 选择 用 户 名 口令 ”方式 登录 。 单 击 该 方式 ,将 出 
现 如 图 4-142 所 示 的 登录 提示 框 。 

如 果 首 次 使 用 SSL VPN ,输入 用 户 1a 正确 的 用 户 名 口令 及 验证 码 , 单 击 “ 登 录 ”, 系 
统 会 自动 安装 插件 和 SSL VPN 客户 端 , 如 图 4-143 所 示 。 

安装 插件 和 SSL VPN 客户 端 ,如 图 4-144 所 示 。 

弹出 如 下 窗口 时 , 单 击 “ 仍 然 继 续 " 按 钮 ,如 图 4-145 所 示 , 即 可 完成 SSL VPN 客户 端 
的 安装 。 

(2) 内 部 资源 的 访问 。 

安装 完 插件 和 SSL VPN 客户 端 后 ,客户 端 登录 成 功 ,在 浏览 器 的 服务 资源 列表 中 可 
以 看 到 能 够 访问 的 服务 器 资源 ,如 图 4-146 所 示 。 

G) 内 网 FTP 服务 资源 的 访问 。 

直接 单 击 浏览 器 的 服务 资源 列表 中 的 “ftp 服务 资源 ”, 即 可 对 内 网 FTP 服务 器 进行 
下 载 .上 传 、 删 除 等 操作 ,如 图 4-147 所 示 。 
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XRO REO SEV) 收藏 (A) | DR PMH) 四 


O-O- AAG rire 6 G-3 m -D 


MBA) | rerpsitsz.16s.1.stcgroniogn ca -Era ws 


欢迎 进入 SSL VPN 
e 
PARIA 


Rulie Co, Ltd. RR 
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图 4-147 FTP 服务 资源 的 访问 


或 者 在 Windows 系统 PC 上 打开 FlashFXP 工具 ,访问 10. 1.1.2, 即 可 对 内 网 FTP 
服务 器 进行 下 载 、 上 传 . 删 除 等 操作 ,如 图 4-148 所 示 。 


(4) 内 网 Web 


服务 资源 的 访问 。 


直接 单 击 浏览 器 的 服务 资源 列表 中 的 “Web 服务 资源 ”, 即 可 访问 内 网 Web 服务 资 
源 10. 1. 1. 3, 如 图 4-149 所 示 。 

(5) 内 网 远程 桌面 管理 服务 资源 的 访问 。 

TE Windows 系统 PC 上 的 远程 桌面 连接 程序 ,在 计算 机 栏 中 输入 10. 1. 1.4, 单 击 “ 连 
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VPN 虚拟 专用 阅 安 全 实践 教程 


附录 A 
VPN 技术 基础 


V Virtual; 虚拟 的 ,不 用 真正 的 铺设 线路 ; 
P Private: 私有 的 ,安全 ; 
N Network: 网 络 的 , 互 连 互通 。 


顾名思义 ,VPN 即 虚 拟 专 有 网 络 。 它 不 是 真正 的 物理 线路 ,但 能 够 实现 专 有 网 络 功 
能 。 这 里 说 的 虚拟 专 有 网 络 VPN 技术 ,就 是 利用 Internet 技术 来 组 建 企业 自己 的 专 有 网 
络 , 实 现 异地 组 网 ,本 地 通信 效果 。VPN 利用 隧道 加 密 技 术 ,利用 公用 网 络 上 建立 专用 的 
数据 通信 网 络 ,实现 企 事 业 单位 任何 两 个 授权 端点 间 的 连接 。 

虚拟 专 有 网 络 解决 了 传统 专 网 组 建 中 需要 的 费时 、 费 钱 、 端 对 端的 物理 链接 ,而 是 利 
用 Internet 公 网 的 物理 链 路 资源 ,动态 组 成 ,使 用 户 实现 “不 花 钱 的 专 网 效果。 用 户 只 需 
购买 VPN 设备 和 软件 产品 ,向 企业 所 在 地 的 网 络 服务 提供 商 支付 一 定 Internet 接 入 费 
用 ,节约 租用 专线 的 费用 , 即 可 实现 不 同 地 域 的 客户 联系 ,还 大 大 节省 长 途 通 信和 费用 。 

通俗 地 讲 , 有 一 家 公司 北京 有 一 个 总 部 ,总 部 设 有 多 台 应 用 服务 器 ,上 海 有 一 个 分 公 
司 , 企 业内 部 的 局 域 网 通过 Internet 网 ,使 用 VPN 技术 在 Internet 公 网 上 为 各 分 部 之 间 
建立 一 条 虚拟 通信 通道 ,在 上 海 分 部 局 域 网 中 的 用 户 , 可 以 通过 本 地 计算 机 上 “网 上 邻居 ” 
直接 访问 北京 总 部 服务 器 ,感觉 在 本 地 局 域 网 中 的 用 户 一 样 访问 远程 网 络 ,如 图 A-1 
所 示 。 
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办 事 处 移动 用 户 
图 A-1 VPN 接 入 技术 和 设备 在 生活 中 发 生 场景 


VPN Client 


mmm 附录 A VPN 技术 基础 m 


通常 VPN 是 对 企业 内 部 网 的 扩展 , 当 移 动用 户 或 远程 网 络 用 户 通 过 拨号 方式 远程 
访问 企业 内 部 网 络 时 ,采用 传统 的 远程 访问 方式 不 但 通信 费用 比较 高 ,而 且 在 与 内 部 专用 
网 络 中 的 计算 机 进行 数据 传输 时 ,不 能 保证 通信 的 安全 性 。 为 了 避免 以 上 问题 ,通过 在 企 
业内 部 网 络 之 间 建立 VPN 连接 是 一 个 理想 的 选择 。VPN 虚拟 专用 网 替代 了 传统 的 拨号 
访问 ,利用 Internet 公 网 资源 作为 企业 专 网 的 延续 ,节省 昂贵 的 长 途 费 用 ,保证 了 网 络 
安全 。 


ATi o VPN 概述 


虚拟 专用 网 不 是 真正 的 专用 网 络 , 却 能 够 实现 专用 网 络 的 功能 。VPN 虚拟 专 网 技术 
在 Internet 公共 网 络 中 建立 私有 专用 网 络 ,企业 内 部 保密 的 数据 通过 安全 的 “加 密 管道 ”， 
在 公共 Internet 网 络 中 传输 ,如 图 A-2 所 示 。 

Internet 所 具备 的 高 带宽 、 低 费用 以 及 无 限 连 接 特性 ,对 企业 具有 极 大 的 诱惑 性 。 但 
Internet 网 络 具 有 的 开放 性 和 松散 管理 特征 ,也 使 企业 网 络 面临 的 网 络 安全 问题 益 发 尖 
锐 ,此 问题 成 了 Internet 作为 商务 网 络 必须 跨越 的 重大 障碍 。 而 虚拟 专用 网 VPN BOR. 
具有 防止 数据 在 Internet 公 网 传输 中 被 窃听 、 防 止 数 据 在 公 网 传输 中 被 自 改 、 可 以 验证 数 
据 的 真实 来 源 、 成 本 低廉 (相对 于 专线 ,长途 拨号 ) ,应 用 灵活 、 可 扩展 性 好 等 多 项 特性 ,是 
目前 和 今后 一 段 时 间 内 ,企业 架构 在 公司 Internet. 上 ,构建 企业 内 部 网 络 的 发 展 趋势 , 逐 
步 实现 企业 网 络 跨 地 域 安全 互联 的 主要 技术 。 


VPN Tunnel 


图 A-2 VPN 在 Internet 公众 数据 网 络 上 的 加 密 管道 


IETF 草案 理解 基于 IP 的 VPN 技术 为 :“ 使 用 IP 机 制 .仿真 出 一 个 私有 的 广域网 。” 
VPN 通过 私有 的 隧道 技术 ,在 公共 数据 网 络 上 仿真 一 条 点 到 点 的 专线 技术 。 虚 拟 专用 网 
VPN 中 的 数据 通过 安全 “加 密 管道 "在 公共 网 络 中 传播 ,企业 只 需要 租用 本 地 的 数据 专线 
或 者 用 户 通过 拨号 方式 ,连接 上 本 地 的 公共 信息 网 ,就 可 以 通过 公 网 互相 传递 信息 ,实现 
分 散 地 点 间 的 企业 内 部 用 户 ,安全 连接 入 企业 网 中 ,从 而 达到 安全 的 数据 传输 的 目的 。 

VPN 虚拟 专用 网 技术 的 出 现 ,使 企业 不 再 依赖 于 昂贵 的 长 途 拨号 以 及 长 途 专线 服 
务 ,而 代 之 以 本 地 ISP 提供 的 VPN 服务 。 从 企业 中 心 站 点 铺设 至 当地 ISP 专线 ,要 比 传 
统 WAN 解决 方案 中 长 途 专线 距离 短 得 多 ,成 本 也 低廉 得 多 。 有 了 VPN 技术 ,用 户 在 家 
里 或 在 出 差 路 途中 ,就 可 以 利用 Internet 公共 网 络 ,对 企业 内 部 服务 器 进行 远程 安全 访 
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E 和 A.1 VPN 概述 -- 


问 。VPN 虚拟 专用 网 通过 安全 的 数据 通道 ,将 远程 用 户 、 公 司 分 支 企业 、 公 司 业务 伙伴 等 
跟 公司 的 企业 网 连接 起 来 ,构成 一 个 扩展 的 企业 网 。 通 过 该 网 络 通信 本 地 或 远程 网 络 的 
主机 将 不 会 觉察 到 公共 网 络 的 存在 ,仿佛 所 有 的 主机 都 处 于 一 个 网 络 之 中 。 公 共 网 络 仿 
佛 只 由 本 网 络 独占 使 用 ,而 事实 上 并 非 如 此 ,所 以 称 之 为 虚拟 专用 网 。 

从 用 户 的 角度 来 看 ,VPN 就 是 在 用 户 计算 机 (VPN 客户 机 ) 和 企业 服务 器 (VPN 服 
务 器 ) 之 间 建 立 的 点 到 点 的 连接 ,由 于 数据 通过 一 条 仿真 专线 传输 ,用 户 感觉 不 到 公共 网 
络 的 实际 存在 ,能 够 像 在 专线 上 一 样 处 理 企业 内 部 信息 。VPN 虚拟 专用 网 可 以 帮助 远程 
用 户 、 公 司 分 支 机 构 、 商 业 伙伴 及 供应 商 同 公司 的 内 部 网 建立 可 信 的 安全 连接 ,并 保证 数 
据 的 安全 传输 。 一 个 企业 的 虚拟 专用 网 解决 方案 ,通过 将 数据 流转 移 到 低 成 本 的 网 络 上 ， 
将 大 幅度 地 减少 用 户 花费 在 城 域 网 和 远程 网 络 连 接 上 的 费用 。 同 时 ,还 将 简化 网 络 的 设 
计 和 管理 ,如 图 A-3 所 示 。 


国外 数字 图 ; TE 


移动 用 户 
图 A-3 VPN 在 用 户 计算 机 和 企业 服务 器 之 间 点 到 点 连接 


另外 虚拟 专用 网 还 可 以 保护 用 户 现 有 的 网 络 投 资 。 随 着 用 户 的 商业 服务 不 断 发 展 ， 
企业 的 虚拟 专用 网 解决 方案 可 以 使 用 户 将 精力 集中 到 自己 的 生意 上 。 虚 拟 专 用 网 还 可 用 
于 不 断 增长 的 移动 用 户 的 全 球 Internet 接 入 ,以 实现 安全 连接 。 用 于 企业 网 站 之 间 安 全 
通信 的 内 部 虚拟 专用 线路 ,以 及 用 于 连接 到 商业 伙伴 和 用 户 的 外 联 虚拟 专用 网 ,广泛 应 用 
于 各 个 领域 ,使 企业 通过 公共 网 络 Internet 实现 公司 总 部 和 各 远程 分 部 ,以 及 在 客户 之 间 
建立 快捷 、 安 全、 可 靠 的 通信 。 

在 满足 基本 应 用 要 求 后 ,有 三 类 用 户 比较 适合 采用 VPN. 

CD 位 置 众多 ,特别 是 单个 用 户 和 远程 办 公 室 站 点 多 ,例如 企业 用 户 、 远 程 教育 用 户 ; 

(2) 用 户 / 站 点 分 布 范围 广 .彼此 之 间 的 距离 远 , 遍 布 全球 各 地 , 需 通 过 长 途 电 信 , 其 
至 国际 长 途 手段 联系 的 用 户 ; 

(3) 带宽 和 时 延 要 求 相对 适中 ;对 线路 保密 性 和 可 用 性 有 一 定 要 求 的 用 户 。 
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mem HRA VPN 技术 基础 


| A2 VPN 功能 和 作用 


企业 中 的 信息 通过 Internet 公 网 实现 跨 地 域 的 互联 ,必然 面临 Internet 公 网 安全 问 
题 ,由 于 Internet 的 开放 性 特征 ,使 用 Internet 公用 网 络 会 导致 企业 间 的 传输 信息 容易 被 
窃取 ,同时 攻击 者 也 有 可 能 通过 Internet 公 网 对 企业 的 内 部 网 络 实施 攻击 ,因此 需要 在 企 
业 网 之 间 建 立 安全 的 数据 专用 通道 ,该 通道 应 具备 以 下 基本 安全 要 素 : 保证 数据 真实 性 ; 
保证 数据 完整 性 ;保证 数据 的 机 密 性 ;提供 动态 密 钥 交换 功能 和 集中 安全 管理 服务 ;提供 
安全 防护 措施 和 访问 控制 等 。 

VPN 虚拟 专用 网 技术 能 有 效 地 解决 这 些 安全 问题 ,在 企业 网 中 建立 VPN 虚拟 专用 
网 有 以 下 几 方 面 优点 。 


1 降低 成 本 

通过 公用 网 来 建立 VPN 虚拟 专用 网 通信 ,与 租用 DDN, PSTN 等 其 他 专线 方式 相 
比 , 可 以 节省 大 量 的 费用 开支 。VPN 技术 的 最 大 吸引 力 是 价格 , 据 估 算 , 如 果 企 业 放弃 租 
用 DDN 专线 而 采用 VPN 虚拟 专 网 技术 ,其 整个 网 络 的 成 本 可 节约 21%~45%。 至 于 以 
电话 拨号 方式 接 入 网 络 实现 数据 通信 公司 ,采用 VPN 虚拟 专 网 则 可 以 节约 通信 成 本 
50%~80%。 

这 是 由 于 VPN 虚拟 专 网 是 在 Internet 上 临时 建立 的 安全 虚拟 专用 网 络 ,用户 节省 了 
永久 租用 专线 的 费用 。 在 运行 的 资金 支出 上 ,除了 购买 VPN 设备 ,企业 所 付出 的 仅仅 是 
向 企业 所 在 地 的 ISP 服务 商 支付 一 定 的 上 网 费用 ,节省 了 长 途 电话 费 , 故 VPN 通信 价格 
更 低廉 。 


2 容易 扩展 

如 果 用 户 想 扩大 VPN 的 容量 和 覆盖 范围 ,只 需 改 变 一 些 配置 ,或 增加 几 台 设备 D 
大 服务 范围 ;在 远程 办 公 室 安装 VPN 更 简单 ,只 需 进行 适当 的 设备 配置 即 可 ;和 欲 需要 增 
加 单机 客户 端 用 户 , 只 需 在 客户 端 机 器 上 进行 简单 配置 。 


3 伸缩 性 强 

用 户 如 果 想 与 合作 伙伴 联网 ,如 果 没 有 VPN ,为 保证 通信 的 安全 ,双方 的 信息 技术 部 
门 就 必须 协商 如 何在 双方 之 间 建 立 租用 线路 。 有 了 VPN 虚拟 专 网 技术 之 后 ,只 需 双方 
配置 安全 连接 信息 即 可 ; 当 不 再 需要 联网 时 ,也 可 很 方便 拆除 虚拟 专 网 连接 。 

4 完全 控制 主动 

企业 可 以 利用 公 网 或 在 网 络 内 部 自己 组 建 管理 VPN 虚拟 专 网 ,由 企业 自己 负责 来 
访 用 户 的 查验 ,访问 权 、 网 络 地 址 配置 、 安 全 性 和 网 络 变 化 管理 等 重要 工作 。 

5 全 方位 安全 保护 

由 于 是 架构 在 开放 的 Internet 公 网 上 .组建 VPN 企业 虚拟 专 网 肯定 没有 实际 组 建 专 
线 安全 ,不 过 通过 相关 技术 (如 IPSec 协议 ), 可 以 保证 虚拟 专 网 足够 安全 。VPN 虚拟 专 
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网 不 仅 能 在 网 络 与 网 络 之 间 建 立 专用 通道 ,保护 网 关 与 网 关 之 间 信 息 传输 安全 ,而 且 能 
企业 内 部 的 用 户 与 网 关 之 间 ,移动 办 公用 户 和 网 关 之 间 ,用 户 与 用 户 之 间 建 立 虚 拟 的 安全 
通道 ,实施 全 方位 的 安全 保护 ,保证 网 络 的 安全 。 


6 性 价 比 高 

VPN 虚拟 专 网 致力 于 为 企业 网 络 提供 整体 的 安全 性 ,是 性 能 、 价 格 比 较 高 的 安全 方 
式 , 使 用 简单 ,管理 方便 ,VPN 虚拟 专 网 产品 可 以 在 网 络 连接 中 透明 地 配置 ,而 不 需要 修 
改 网 络 或 客户 端的 配置 ,使 用 非常 方便 。 此 外 VPN 安全 产品 还 可 以 实现 集中 管理 , 即 在 
一 点 实现 对 多 点 VPN 的 配置 ,监控 和 维护 等 。 


A.3 ”VPN 产品 体系 


VPN 安全 产品 专用 于 使 用 TCP/IP 体系 构建 的 网 络 ,在 网 络 层 提供 数据 的 鉴别 , 访 
问 控制 .隧道 传输 和 加 密 功 能 ,适用 于 企业 级 用 户 通 过 公 网 构建 自主 安全、 虚拟 专 网 。 
VPN 产品 保证 企业 内 部 信息 系统 之 间 的 各 种 业务 数据 安全 、 透 明 地 通过 公共 通信 环境 ， 
是 信息 系统 安全 保障 体系 的 基础 平台 和 重要 组 成 部 分 。 有 很 多 可 选 的 VPN 虚拟 专 网 产 
品 : 独立 于 操作 系统 的 黑 匣 VPN ,基于 路 由 器 的 VPN, 基 于 防火 墙 的 VPN, 还 有 基于 软 
件 的 VPN。 

下 面 就 几 种 常见 VPN 安全 产品 分 别 进行 介绍 。 


1. 网 络 服务 商 提供 的 硬件 平台 VPN 

这 是 公司 与 Internet 连 网 并 享受 VPN 虚拟 专 网 提供 服务 最 简单 .最 有 效 的 方法 。 网 
络 服务 供应 商 在 公司 现场 放置 一 台 VPN 虚拟 专 网 设备 ,通过 配置 该 设备 创建 VPN 隧 
道 ,从 而 实现 安全 通信 。 因 其 方便 安装 ,便于 维护 和 管理 ,受到 国内 企 事 业 单位 用 户 的 广 
ZHE 

使 用 专用 硬件 平台 的 VPN 设备 可 以 满足 企业 级 用 户 对 数据 安全 及 通信 性 能 的 需 
求 , 尤 其 适用 于 需要 进行 数据 加 密 及 对 数据 乱码 的 处 理 等 ,对 设备 的 CPU 处 理 能 力 需 求 
很 高 的 环境 中 。 提 供 这 些 平台 的 硬件 厂商 比较 多 ,比较 有 名 的 如 国外 的 Nortel, Cisco, 
3Com 等 ,国内 如 华为 、 锐 捷 、 联 想 等 。 

组 建 这 类 VPN 平台 ,虽然 投资 了 大 量 的 硬件 设备 ,但 是 它 具 有 先天 的 不 足 , 就 是 成 
本 太 高 ,对 于 中 、 小 型 企业 很 难 承受 。 并且 由 于 全 是 由 硬件 构成 的 平台 ,因此 在 管理 的 灵 
活性 和 可 管理 性 方面 就 显得 不 尽 如 人 意 。 通 常 对 于 专业 的 VPN 网 络 服务 提供 商 来 说 ， 
选择 这 一 平台 较为 合适 ,因为 它们 有 这 方面 的 人 才 和 资金 优势 。 不 过 现在 的 主流 VPN 
硬件 设备 制造 商都 能 提供 相应 的 管理 软件 来 支持 使 用 的 易 用 性 ,如 图 A-4 Bron o 


2 辅助 硬件 平台 VPN 
这 类 VPN 的 平台 介 于 软件 平台 和 硬件 平台 之 间 ,辅助 硬件 平台 的 VPN 主要 是 指 以 
现 有 网 络 设备 为 基础 ,再 增添 适当 的 VPN 软件 实现 VPN 的 功能 。 这 也 是 一 种 常见 的 
VPN 平台 ,性 能 也 是 最 好 的 一 种 。 但 是 通常 这 种 平台 中 的 硬件 也 不 能 完全 由 原来 的 网 络 
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图 A-4 硬件 平台 VPN 


硬件 来 完成 ,必要 时 还 得 添加 专业 的 VPN 设备 ,如 VPN 交换 机 、VPN 网 关 或 路 由 器 等 。 
这 种 平台 既 具 备 了 硬件 平台 的 高 性 能 、 高 安全 性 ,同时 也 具有 软件 平台 的 灵活 性 ,并 且 可 
以 利用 绝 大 多 数 现 有 硬件 设备 ,节省 了 总 体 投资 。 


3 基于 防火 墙 VPN 

基于 防火 墙 的 VPN 虚拟 专 网 产品 ,也 是 组 建 VPN 虚拟 专 网 较 常 见 的 一 种 实现 方 
式 , 许 多 厂商 都 提供 这 种 配置 方案 。 与 别 的 VPN 相 比 ,基于 防火 墙 的 VPN 虚拟 专 网 并 
不 是 一 种 全 新 的 产品 ,只 是 在 现 有 防火 墙 产品 的 基础 上 再 增加 新 功能 而 已 。 如 今 很 难 找 
到 一 个 连接 Internet 而 不 使 用 防火 墙 的 企业 网 络 。 因 为 这 些 企业 网 络 已 经 连 到 Internet 
网 上 ,所 需要 的 只 是 增加 加 密 软 件 ,如 图 A-5 所 示 。 


Ce 


a mso rr i 
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图 A-5 新 一 代 防 火 墙 /VPN 网 关 


基于 防火 墙 的 VPN 虚拟 专 网 建设 方案 时 ,有 很 多 厂商 的 产品 可 供 选 择 。 需 要 考虑 
的 是 所 选 产品 和 下 层 操作 系统 的 关系 : 防火 墙 在 什么 平台 上 运行 ? 是 基于 UNIX, 
Windows NT, 还 是 别 的 平台 ? 该 操作 系统 潜在 的 威胁 是 什么 ? 因此 ,如 果 在 防火 墙 设备 
上 建构 VPN 虚拟 专 网 方案 ,需要 确认 底层 的 操作 系统 的 安全 性 。 当 然 因 防火 墙 的 价格 
偏 高 ,所 以 对 于 某 些 中 小 企业 用 户 来 说 , 仍 需 慎重 选择 考虑 。 


4 基于 黑 匣 的 VEN 

ERE VPN 虚拟 专 网 建设 方案 中 ,厂商 只 提供 一 个 黑 匣 ,这 里 的 黑 匣 是 一 种 安装 了 
加 密 软件 VPN 隧道 的 设备 。 一 些 黑 匣 附 带 有 运行 于 台式 机 帮助 管理 的 软件 ,而 另 一 些 
可 以 通过 Web 浏览 器 方式 进行 配置 。 这 些 通过 硬件 技术 的 加 密 设备 , 比 使 用 软件 加 密 的 
设备 工作 起 来 速度 更 快 。 基 于 黑 匣 的 VPN 产品 可 以 建立 所 需 的 加 速 隧道 ,能 够 更 快 地 
执行 传输 中 数据 的 加 密 进 程 。 但 需要 注意 的 是 ,并 非 所 有 的 黑 匣 VPN 产品 都 提供 集中 
管理 功能 ,通常 有 些 也 不 支持 自身 记录 ,需要 把 一 些 记 录 数 据 发 送 到 另 一 个 数据 库 进行 
查询 。 
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5 基于 软件 平台 的 VPN 

当 对 数据 连接 速率 较 低 要 求 不 高 ,对 性 能 和 安全 性 要 求 不 强 时 ,可 以 利用 一 些 软件 公 
司 所 提供 的 完全 基于 软件 VPN 的 产品 来 实现 简单 的 VPN 的 功能 , 如 Checkpoint 
Software 和 Aventail Corp. 等 公司 的 产品 。 甚 至 可 以 不 需要 另外 购置 软件 , 仅 依 靠 微 软 
的 Windows 操作 系统 ,特别 是 自 Windows 2000 版 本 以 后 的 系统 就 可 实现 纯 软 件 平台 的 
VPN 连接 。 

这 类 VPN 网 络 一 般 性 能 较 差 ,数据 传输 速率 较 低 ,同时 在 安全 性 方面 也 比较 低 ,一 
般 仅 适用 于 连接 用 户 较 少 的 小 型 企业 。 


A4 ”VPN 虚拟 专 网 设计 


VPN 虚拟 专 网 实际 上 就 是 将 Internet 看 做 一 种 公有 数据 网 ,这 种 公有 网 和 PSTN 电 
话 网 在 数据 传输 上 没有 本 质 的 区 别 。 从 用 户 角度 来 看 ,数据 都 被 正确 传送 到 目的 地 。 但 
对 企业 来 说 ,VPN 是 在 公共 数据 网 上 建立 的 ,用 以 传输 企业 内 部 信息 的 网 络 , 因 此 也 被 称 
为 私有 网 。 

目前 共有 三 种 类 型 的 VPN 虚拟 专 网 ,它们 分 别 是 远程 访问 虚拟 专 网 (Access VPN), 
企业 内 部 虚拟 专 网 (Intranet VPN) 和 扩展 的 企业 内 部 虚拟 专 网 (Extranet VPN), 这 三 种 
类 型 的 VPN 分 别 与 构建 传统 的 远程 访问 网 络 \ 企 业内 部 的 Intranet 及 企业 网 和 相关 合作 
伙伴 的 企业 网 所 构成 的 Extranet 相对 应 ,用 户 可 以 根据 自己 实际 情况 进行 选择 。 


1. Access VPN 虚 拟 专 网 实现 

Access VPN 又 称 为 拨号 VPN CHE VPDN), 是 指 企业 员工 或 企业 的 分 公司 ,通过 公 
网 远程 拨号 的 方式 构筑 的 VPN 虚拟 网 。 如 果 企 业 的 内 部 人 员 移 动 或 有 远程 办 公 需 要 ， 
或 者 商家 要 提供 B2C 的 安全 访问 服务 ,就 可 以 考虑 使 用 Access VPN 虚拟 专 网 。 

Access VPN 虚拟 专 网 通过 一 个 拥有 与 专用 网 络 相 同 策略 的 共享 基础 设施 ,提供 对 
企业 内 部 网 或 外 部 网 的 远程 访问 。Access VPN 能 使 用 户 随时 、 随 地 以 其 所 需 的 方式 访 
问 企业 资源 。Access VPN 包括 能 随时 使 用 如 模拟 拨号 Modem、ISDN、 数 字 用 户 线路 
(xDSL) 和 有 线 电 视 电 缆 等 技术 ,实现 安全 地 连接 移动 用 户 、 远 程 工 作者 或 分 支 企业 之 间 
通信 。 这 种 方式 相对 传统 的 拨号 访问 具有 明显 的 费用 优势 ,特别 对 于 需要 移动 办 公 的 企 
业 来 说 不 失 为 一 种 经 济 .安全 ,灵活 自由 的 网 络 互联 方式 ,此 外 这 种 方式 通常 也 是 许多 大 、 
中 型 企业 所 必需 的 ,如 图 A-6 所 示 。 

Access VPN 虚拟 专 网 最 适用 于 公司 内 部 流动 人 员 远 程 办 公 情况 ,出 差 员 工 利用 当 
地 ISP 网 络 接 入 ,使 用 本 机 上 VPN 客户 端 软件 ,就 可 以 享受 VPN 虚拟 专 网 服务 ,实现 和 
公司 的 VPN 网 关 建 立 私 有 的 隧道 连接 。 内 网 中 的 RADIUS 服务 器 可 对 员工 进行 验证 和 
授权 ,保证 连接 的 安全 ,同时 负担 的 通信 费用 也 大 大 降低 。 

Access VPN 虚拟 专 网 对 用 户 的 吸引 力 在 于 : 减少 用 于 相关 的 调制 解 调 器 和 终端 服 
务 设备 的 资金 及 费用 ,简化 网 络 安 装 ; 实现 本 地 拨号 接 入 的 功能 就 可 以 取代 远 距 离 接 入 ， 

191 


mmm HORA VPN 技术 基础 mmm 


这 样 能 显著 降低 远 距 离 通信 的 费用 ;此 外 具有 极 大 的 可 扩展 性 ,可 以 简便 地 实现 对 新 加 入 
网 络 中 的 新 用 户 进行 调度 ;此 外 还 可 以 实现 基于 标准 远 端 验 证 拨 入 用 户 服务 ,基于 策略 功 
能 的 安全 服务 ;将 工作 重心 从 管理 和 保留 运作 拨号 网 络 的 工作 人 员 转 到 公司 的 核心 业务 
上 来 。 


SSL VPN 


SSL VPN 
Key L 移动 用 户 


图 A-6 Access VPN 虚拟 专 网 的 实现 方式 


2 Intranet VFN 虚拟 专 网 的 实现 

如 果 要 进行 企业 内 部 各 分 支 企 业 的 互联 ,使 用 Intranet VPN 虚拟 专 网 是 很 好 的 
方式 。 

Intranet VPN 即 企业 的 总 部 与 分 支 企 业 间 通过 VPN 虚拟 网 进行 网 络 连接 技术 。 如 
果 要 进行 企业 内 部 各 分 支 企 业 之 间 的 互联 ,使 用 Intranet VPN 是 很 好 的 连接 方式 。 这 种 
VPN 通过 公用 因特网 或 者 第 三 方 专用 网 进行 连接 ,有 条 件 的 企业 可 以 采用 光纤 作为 传输 
介质 以 提高 速度 。 它 的 特点 就 是 容易 建立 连接 .连接 速度 快 ,最 大 特点 就 是 它 能 为 各 分 支 
企业 提供 整个 VPN 网 络 的 访问 权限 。 

越 来 越 多 的 企业 需要 在 全 国 , 乃 至 世界 范围 内 建立 分 公司 、 研 究 所 等 ,各 个 分 公司 之 
间 传 统 的 网 络 连接 方式 ,一 般 是 租用 专线 。 显 然 在 公司 业务 增多 ,公司 间 通 信 开 展 越 来 越 
频繁 时 ,网 络 结构 趋 于 复杂 ,企业 间 花 费 的 费用 也 越 来 越 昂 贵 。 

利用 VPN 虚拟 专 网 特性 可 以 在 Internet 上 ,组建 世 界 范围 内 Intranet VPN 虚拟 专 
网 。 利 用 Internet 线路 保证 网 络 互联 性 ,而 利用 VPN 的 隧道 ,加密 等 VPN 特性 ,可 以 保 
证 信息 在 整个 Intranet VPN 虚拟 专 网 上 安全 传输 。Intranet VPN 虚拟 专 网 通过 一 个 使 
用 专用 连接 共享 基础 设施 ,连接 企业 总 部 .远程 办 事 处 和 分 支 企业 。 整 个 企业 专用 网 络 使 
用 相同 策略 ,包括 安全 服务 .质量 (QoS) .可 管理 性 和 可 靠 性 。 

如 图 A-7 所 示 网 络 环境 ,显示 Intranet VPN 虚拟 专 网 技术 应 用 的 工作 场景 , 它 对 用 
户 的 吸引 力 在 于 : 减少 WAN 带宽 的 费用 ; 能 使 用 灵活 的 拓扑 结构 ,包括 全 网 络 连 接 ; 新 
加 入 的 站 点 能 更 快 .更 容易 地 被 接 入 ;通过 设备 供应 商 WAN 的 连接 元 余 ,可 以 延长 网 络 
的 可 用 时 间 。 


3 Biranet VPN 虚 拟 专 网 的 实现 
Extranet VPN 是 企业 间 在 发 生 收 购 、 兼 并 之 后 或 不 同 的 企业 间 建 立 战略 联盟 后 , 实 
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现 不 同 企业 网 通过 公 网 来 构筑 VPN 的 虚拟 网 方法 。 


图 A-7 Intranet VPN 虚拟 专 网 的 实现 方式 


随 着 信息 时 代 的 到 来 ,各 个 企业 越 来 越 重视 各 种 信息 处 理 。 和 希望 提供 给 客户 最 快捷 
方便 信息 服务 ,通过 各 种 方式 了 解 客户 需要 ,同时 各 个 企业 之 间 合 作 关 系 也 越 来 越 多 , 信 
息 交换 日 益 频繁 。 因 特 网 为 这 一 发 展 趋势 提供 了 良好 基础 ,而 如 何 利 用 因特网 进行 安全 


有 效 的 信息 管理 ,是 企业 发 展 中 不 可 避免 的 一 个 关键 问题 ,Extranet VPN 2g iX H 
趋势 提供 了 安全 保障 。 利 用 VPN 技术 可 以 组 建 企业 间 安 全 Extranet 网 , 既 可 以 
合作 伙伴 提供 有 效 信息 服务 ,又 可 以 保证 自身 内 部 网 络 安 全 。 


Fin è E 
向 客户 、 


Extranet VPN 对 用 户 的 吸引 力 在 于 : 能 容易 地 对 外 部 网 进行 部 署 和 管理 ,外 部 网 的 
连接 可 以 使 用 与 内 部 网 和 远 端 访问 VPN 相同 的 架构 和 协议 进行 部 署 。 不同 是 接 入 许可 
区 别 ,外 部 网 的 用 户 被 许可 只 有 一 次 机 会 连接 到 其 合作 的 网 络 ,并 且 只 拥有 部 分 网 络 资源 


访问 权限 ,这 要 求 企 业 用 户 对 各 外 部 用 户 进行 相应 访问 权限 的 设 定 。 
Extranet VPN 虚拟 专 网 通过 使 用 专用 连接 ,共享 基础 设施 ,将 客户 、 供 应 商 


、 合 作 伙 


伴 连 接 到 企业 内 部 网 。 企 业 拥 有 与 专用 网 络 的 相同 政策 : 包括 安全 服务 .质量 (QoS) .可 


管理 性 和 可 靠 性 ,如 图 A-8 所 示 网 络 场景 。 


图 A-8 Extranet VPN 虚拟 专 网 的 实现 方式 
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_ A5 VPN 虚拟 专 网 安全 技术 


由 于 企业 网 络 中 传输 的 是 私有 信息 ,VPN 虚拟 专 网 中 用 户 对 数据 的 安全 性 都 比较 关 
心 , 安 全 问题 是 VPN 技术 的 核心 问题 。 目 前 组 建 VPN 虚拟 专 网 主要 采用 四 项 技术 来 保 
证 安全 , 这 四 项 技术 分 别 是 隧道 技术 (Tunneling)、 加 解密 技术 (Encryption & 
Decryption )、 密 钥 管理 技术 (Key Management)、 使 用 者 与 设备 身份 认证 技术 
(Authentication) ,保证 企业 员工 安全 访问 公司 内 部 网 络 中 资源 。 


1 隧道 技术 

隧道 技术 是 VPN 虚拟 专 网 的 基础 技术 ,类 似 于 点 对 点 连接 技术 。 隧 道 技 术 在 公用 
网 建立 一 条 数据 通道 (隧道 ) ,让 数据 包 通 过 这 条 隧道 传输 。 隧 道 由 隧道 协议 形成 ,分 为 第 
二 ,三 层 隧道 协议 。 第 二 层 隧道 协议 是 先 把 各 种 网 络 协 议 封 装 到 PPP 中 ,再 把 整个 数据 
包 封 装 人 隧道 协议 中 。 这 种 双 层 封装 方法 形成 的 数据 包 , 靠 第 二 层 协 议 进 行 传输 。 第 二 
层 隧道 协议 有 L2F、PPTP、L2TP 等 。 其 中 L2TP 协议 是 目前 IETF 的 标准 ,由 IETF 组 
织 融合 PPTP 协议 与 L2F 协议 而 形成 。 

第 三 层 隧道 协议 是 把 各 种 网 络 协议 直接 装 和 人 隧道 协议 中 ,形成 的 数据 包 依 靠 第 三 层 
协议 在 网 络 上 进行 传输 。 第 三 层 隧 道 协议 有 VTP IPSec 等 。 其 中 IPSec 由 一 组 RFC X 
档 组 成 ,定义 了 一 套 系统 来 提供 安全 协议 选择 .安全 算法 ,确定 服务 所 使 用 的 密 钥 等 服务 ， 
从 而 在 IP 层 提 供 安 全 保障 。 


2 加 解密 技术 

数据 加 密 的 基本 过 程 就 是 对 原来 明文 的 文件 或 数据 , 按 某 种 算法 进行 处 理 , 使 其 成 为 
不 可 读 的 一 段 代码 ,通常 称 为 “ 密 文 ”。 密 文 代码 只 能 在 输入 相应 的 密 钥 之 后 才能 显示 出 
来 内 容 。 通 过 这 样 的 途径 来 达到 保护 数据 不 被 非法 人 窃取 、 阅 读 的 目的 。 

加 解密 技术 是 数据 通信 中 一 项 较 成 熟 的 技术 ,VPN 可 直接 利用 现 有 加 密 技术 ,如 
DES,Triple-DES 等 。 加 密 后 的 数据 包 即 使 在 传输 中 被 窃取 .非法 获取 者 也 只 能 看 到 一 
堆 乱 码 , 必 须 拥 有 相应 的 密 钥 (Ericryption key) 才 能 破译 。 而 要 破译 密 钥 的 话 ,其 所 需 的 
设备 与 时 间 则 需 视 加 密 技术 及 密 钥 长 度 而 定 。 如 使 用 56 位 加 密 的 DES, 以 现今 的 普通 
PC 计算 ,需要 几 十 年 才能 破译 ;而 使 用 112 位 的 Triple-DES 加 密 技 术 目 前 则 被 视 为 不 可 
破译 。 

加 解密 技术 依 密 钥 可 分 为 两 大 类 : 四 对 称 式 密码 学 (Symmetric cryptography), 有 时 
又 称 密 钥 式 密码 学 (Secret-key crvptography); @ 非 对 称 式 密码 学 ( Asymmetric 
crvptography) ,又 称 公 用 钥匙 密码 学 (Public-key cryptography)。 男 外 ,还 可 依 保密 方式 
来 区 分 ,主要 可 分 为 分 组 密码 (Block Cipher) 和 序列 密码 (Stream Cipher)。 

对 称 式 的 加 解密 技术 ,或 称 为 专用 密 钥 (也 称 常规 加 密 ) ,由 通信 双方 共享 一 个 秘密 密 
钥 , 加 密 与 解密 均 使 用 同一 把 钥匙 对 称 加 密 。 发 送 方 在 进行 数学 运算 时 使 用 密 钥 将 明文 
加 密 成 密 文 。 接 受 方 使 用 相同 的 密 钥 将 密 文 还 原 成 明文 。 常 见 加 密 技术 中 RSA RC4 算 
法 数据 加 密 标准 (DES) 、 国 际 数 据 加 密 算 法 (IDEA) 以 及 Skipjack 加 密 技 术 都 属于 对 称 
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加 密 方式 。 

非 对 称 加 密 , 或 公用 密 钥 ,通信 双方 使 用 两 个 不 同 的 密 钥 ,加 密 与 解密 使 用 不 同 的 钥 
匙 。 一 个 是 只 有 发 送 方 知道 的 专用 密 钥 , 另 一 个 则 是 对 应 的 公用 密 钥 ,任何 人 都 可 以 获得 
公用 密 钥 。 专 用 密 钥 和 公用 密 钥 在 加 密 算法 上 相互 关联 ,一 个 用 于 数据 加 密 , 另 一 个 用 于 
数据 解密 ,公用 密 钥 加 密 技术 允许 对 信息 进行 数字 签名 。 

数字 签名 技术 发 送 一 方 使 用 专用 密 钥 对 所 发 送信 息 的 某 一 部 分 进行 加 密 。 接 受 方 收 
到 该 信息 后 ,使 用 发 送 方 的 公用 密 钥 解密 数字 签名 ,验证 发 送 方 身 份 。 其 中 加 密 技 术 
RSA 算法 被 采用 最 多 。 由 于 对 称 式 密码 算法 的 运算 速度 较 非 对 称 式 密码 演算 法 快 ( 约 
100 一 1000 倍 ) ,所 以 现行 的 VPN 设备 都 采用 DES 或 Triple-DES 作为 加 解密 所 用 的 算 
法 。 而 如 果 使 用 对 称 式 加 上 非 对称 式 的 混合 (Hybrid) 密 钥 管 理 功能 ,进行 网 络 上 密 钥 的 
交换 与 管理 ,不 但 可 提供 较 快 的 传输 速度 ,还 有 更 好 的 保密 功能 ,也 更 难 破解 。 分 组 密码 
算法 适合 大 量 数据 的 传输 ,通常 使 用 硬件 来 执行 以 提高 运算 效率 。 


3 密 钥 管理 技术 

如 果 从 取 数据 包 者 不 能 获得 密 钥 。 那 只 能 采用 穷 举 法 破译 ,这 在 日 前 加 密 技 术 严 密 
情况 下 几乎 不 可 能 。 密 钥 管理 技术 主要 任务 是 如 何在 公用 数据 网 上 安全 地 传递 密 钥 而 不 
被 窃取 。 现 行 密 钥 管理 技术 又 分 为 SKIP 与 ISAKMP/OAKLEY 两 种 : SKIP 技术 由 
Sun 公司 开发 ,主要 是 利用 Diffie-Hellmail 演算 法 则 ,在 网 络 上 传输 密 钥 的 一 种 技术 。 而 
TE ISAKMP 技术 中 ,双方 都 有 两 把 密 钥 ,分 别 用 于 公用 、 私 用 场合 。 目 前 ISAKMP/ 
OAKLEY 技术 逐渐 整合 于 IPv6 协议 中 ,成 为 IPv6 的 安全 标准 之 一 。 

在 数据 加 密 和 密 钥 管理 方面 ,VPN 采用 微软 的 点 对 点 加 密 算法 MPPE 协议 和 网 际 
协议 安全 IPSec 机 制 ,对 数据 进行 加 密 。 并 采用 公 、 私 密 钥 对 的 方法 ,对 密 钥 进行 管理 。 
其 中 MPPE 算法 使 Windows 95,98, XP 和 NT 4.0 终端 ,可 以 在 全 球 任何 地 方 进行 安全 
通信 。MPPE 加 密 确保 了 数据 的 安全 传输 ,并 具有 最 小 的 公共 密 钥 开销 。 以 上 的 身份 验 
证 和 加 密 手 段 , 由 远程 VPN 服务 器 强制 执行 。 对 于 采用 拨号 方式 建立 VPN 的 连接 ， 
VPN 连接 可 以 实现 双重 数据 加 密 , 使 网 络 数据 传输 更 安全 。 

对 于 企业 中 敏感 的 数据 ,可 以 使 用 VPN 连接 ,通过 VPN 服务 器 ,将 高 度 敏 感 企业 网 
中 的 数据 服务 器 物理 地 进行 分 隔 , 只 有 企业 Intranet 上 拥有 适当 权限 的 用 户 ,才能 通过 远 
程 访问 建立 与 VPN 服务 器 的 VPN 连接 ,访问 敏感 部 门 网 络 中 受到 保护 的 资源 。 


4 使 用 者 与 设备 身份 认证 技术 

公用 网 络 上 有 众多 的 使 用 者 与 设备 ,如 何 正确 地 辨认 合法 的 使 用 者 与 设备 ,使 只 有 授 
权 的 本 单位 的 人 员 才 能 与 设备 互通 ,构成 一 个 安全 的 VPN ,并 让 未 授权 者 无 法 进入 系统 ， 
这 就 是 使 用 者 与 设备 身份 确认 技术 要 解决 的 问题 。 

辨认 合法 使 用 者 方法 很 多 ,最 常 使 用 的 是 使 用 者 名 称 与 密码 或 卡片 式 两 段 认证 方式 。 
设备 认证 则 需 依 赖 由 电子 证 书 核发 单位 (Certificate Authority) 颁发 X. 509 电子 证 书 
(Certificate) 。 通 信 双 方 将 此 证 书 对 比 后 ,如果 对 比 正 确 , 双 方才 开始 交换 数据 。 

在 用 户 身 份 验证 安全 技术 方面 ,VPN 通过 使 用 点 到 点 协议 (PPP) 用 户 级 身份 验证 
的 方法 来 进行 验证 ,这 些 验证 方法 包括 密码 身份 验证 协议 (PAP) ,质询 握手 身份 验证 协议 
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(CHAP) „Shiva 密码 身份 验证 协议 (SPAP)、Microsoft 质询 握手 身份 验证 协议 (MS- 
CHAP) 和 可 选 的 可 扩展 身份 验证 协议 (EAP)。 


o Ae VPN 隧道 技术 


VPN 虚拟 专 有 网 络 的 隧道 技术 是 一 种 通过 Internet 网 络 的 基础 设施 ,在 企业 网 络 之 
间 传 递 数 据 的 方式 。 使 用 隧道 技术 来 传递 的 数据 ,可 以 是 不 同 协议 的 数据 包 。 隧 道 协 议 
将 这 些 不 同类 型 协议 的 数据 包 ,重新 封装 在 新 的 包头 中 发 送 。 新 的 包头 提供 了 路 由 信息 ， 
从 而 使 封装 的 负载 数据 能 够 通过 互联 网 Internet 传递 。 被 封装 的 数据 包 在 隧道 的 两 个 端 
点 之 间 通 过 公共 Internet 网 络 进行 路 由 。 被 封装 的 数据 传递 时 所 经 过 的 逻辑 路 径 称 为 隧 
道 。 当 数据 包 到 达 通 信 终 点 后 ,将 被 拆 封 并 转发 到 最 终 目 的 地 ,如 图 A-9 所 示 。 


n 


图 A-9 VPN 隧道 技术 


被 封装 的 数据 包 在 公共 Internet 网 络 上 传递 时 ,所 经 过 的 逻辑 路 径 称 为 隧道 。 封 装 
的 数据 包 一 旦 到 达 目 标 网 络 终点 ,数据 将 被 解 包 并 转发 到 最 终 目 的 计算 机 。 隧 道 技 术 是 
VPN 虚拟 专 有 网 络 最 重要 的 技术 之 一 ,包括 数据 封装 、 数 据 传 输 和 数据 拆 封 在 内 几 个 阶 
段 。VPN 虚拟 专 有 网 络 的 隧道 技术 ,通过 公共 网 络 的 基础 设施 ,在 专用 网 络 或 专用 设备 
之 间 实 现 加 密 数据 的 安全 通信 ,通信 的 内 容 可 以 是 任何 通信 协议 的 数据 包 。 

在 VPN 隧道 中 ,通信 过 程 能 确保 通信 通道 的 专用 性 ,并 且 传 输 的 数据 是 经 过 压缩 、 
加 密 的 ,所 以 VPN 通信 同样 具有 专用 网 络 的 通信 安全 性 。 

整个 VPN 隧道 通信 过 程 可 以 简化 为 以 下 4 个 通用 步骤 来 解释 说 明 。 

CD 客户 机 向 VPN 服务 器 发 出 请 求 ; 

(2) VPN 服务 器 响应 请 求 , 并 向 客户 机 发 出 身份 质询 ,客户 机 将 加 密 的 用 户 身份 验 
证 响应 信息 发 送 到 VPN 服务 器 上 ; 

(3) VPN 服务 器 根据 用 户 数 据 库 检查 该 响应 ,如 果 账 户 有 效 ,VPN 服务 器 将 检查 该 
用 户 是 否 具 有 远程 访问 权限 ;如 果 该 用 户 拥 有 远程 访问 的 权限 ,VPN 服务 器 接受 此 连接 ; 

(4) 最 后 VPN 服务 器 将 在 身份 验证 过 程 中 产生 客户 机 和 服务 器 公有 密 钥 ,用 来 对 数 

据 进行 加 密 ,然后 通过 VPN 隧道 技术 进行 封装 ,加密 、 传 输 到 目的 内 部 网 络 。 

VPN 具体 实现 是 采用 隧道 技术 ,将 企业 网 的 数据 封装 在 隧道 中 进行 传输 。 建立 
VPN 隧道 技术 有 多 种 方式 ,包括 L2TP IPSec, PPTP,GRE, SSL 等 隧道 类 型 ,其 中 IPSec 
协议 是 VPN 隧道 中 安全 加 密 功 能 最 完整 的 技术 之 一 。VPN 隧道 所 使 用 的 公共 网 络 ,可 
以 是 任何 类 型 的 通信 网 络 ,如 Internet 或 Intranet。 为 创建 隧道 ,VPN 的 客户 机 和 服务 器 
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之 间 必 须 使 用 相同 的 隧道 协议 。 

按照 OSI 参考 模型 划分 ,隧道 技术 可 以 分 为 第 二 层 隧 道 技术 和 以 第 三 层 隧道 技术 。 
它们 的 本 质 区 别 在 于 用 户 的 数据 包 被 封装 在 哪 种 数据 包 中 在 隧道 中 传输 。 第 二 层 隧道 技 
术 对 应 于 OSI 模型 中 的 数据 链 路 层 , 使 用 帧 作为 数据 传输 单位 ,如 PPTP 和 L2TP 隧道 
协议 ,将 数据 封装 在 点 对 点 协议 的 帧 中 通过 Internet 网 络 发 送 。 第 三 层 隧道 协议 对 应 
OSI 模型 中 的 网 络 层 ,使 用 包 作为 数据 传输 单位 ,如 安全 IP 隧道 模式 IPSec 协议 ,是 将 原 
来 数据 包 封 装 在 附加 了 IP 包头 的 新 数据 包 中 通过 Internet 网 络 传送 。 

此 外 VPN 隧道 还 可 分 为 自愿 隧道 CVoluntarytunne) 和 强制 隧道 (Compulsorytunnel) 
两 种 类 型 。 

自愿 隧道 是 客户 端 计 算 机 通过 发 送 VPN 请 求 , 配 置 和 创建 一 条 自愿 隧道 ,此 时 用 户 
端 计算 机 成 为 隧道 一 个 端点 ,是 目前 最 普遍 使 用 的 隧道 类 型 。 当 一 台 工 作 站 或 路 由 器 使 
用 隧道 客户 软件 ,创建 到 目标 隧道 服务 器 的 虚拟 连接 时 , 即 可 建立 自愿 隧道 。 为 实现 这 一 
目的 ,客户 端 计 算 机 必须 安装 适当 隧道 协议 。 自 愿 隧道 需要 有 一 条 IP 连接 (通过 局 域 网 
或 拨号 线路 ) ,客户 端 必须 在 建立 隧道 之 前 创建 与 公共 网 络 的 连接 。 典 型 的 例子 是 因特网 
拨号 用 户 ,必须 在 创建 因特网 自愿 隧道 之 前 , 拨 通 本 地 ISP 取得 与 因特网 的 连接 。 

通过 支持 VPN 而 接 人 服务 器 配置 和 创建 一 条 强制 隧道 。 此 时 用 户 端 计 算 机 不 作为 
隧道 端点 ,而 由 客户 计算 机 和 隧道 服务 器 之 间 的 远程 接 人 服务 器 作为 隧道 客户 端 ,成 为 隧 
道 的 一 个 端点 。 目 前 一 些 商 家 提供 能 够 代替 客户 拨号 创建 隧道 接 人 服务 器 ,成 为 客户 端 
计算 机 提供 建立 隧道 网 络 设备 。 强 制 隧道 提供 设备 包括 支持 PPTP 协议 的 前 端 处 理 器 
(FEP) ,支持 L2TP 协议 的 L2TP 接 人 集线器 (LAC) 或 支持 IPSec 的 安全 IP 网 管 。 

以 因特网 为 例 ,客户 机 向 位 于 本 地 ISP. 能 够 提供 隧道 技术 的 NAS( 网 络 访问 服务 器 ) 
发 出 拨号 呼叫 ,ISP 为 企业 在 全 国 范 围 内 设置 一 套 FEP。 这 些 FEP 通过 因特网 创建 一 条 
到 隧道 服务 器 的 隧道 ,隧道 服务 器 与 企业 的 专用 网 络 相连 。 这 样 就 可 以 将 不 同 地 方 合 并 
成 企业 网 络 端 一 条 单一 的 因特网 连接 。 因 为 客户 只 能 使 用 由 FEP 创建 的 隧道 ,所 以 称 为 
强制 隧道 。 一 旦 最 初 的 连接 成 功 , 所 有 客户 端的 数据 流 将 自动 通过 隧道 发 送 。 使 用 强制 
隧道 ,客户 端 计算 机 建立 单一 的 PPP 连接 , 当 客户 拨 入 NAS 时 ,一 条 隧道 将 被 创建 ,所 有 
的 数据 流 自动 通过 该 隧道 路 由 。 可 以 配置 FEP 为 所 有 的 拨号 客户 ,创建 到 指定 隧道 服务 
器 的 隧道 ,也 可 以 配置 FEP 基于 不 同 的 用 户 名 或 目的 地 创建 不 同 的 隧道 。 

强制 隧道 技术 为 每 个 客户 创建 独立 的 隧道 。FEP 和 隧道 服务 器 之 间 建 立 的 隧道 可 
以 被 多 个 拨号 客户 共享 ,而 不 必 为 每 个 客户 建立 一 条 新 的 隧道 。 因 此 ,一 条 隧道 中 可 能 会 
传递 多 个 客户 的 数据 信息 ,只 有 在 最 后 一 个 隧道 用 户 断 开 连 接 之 后 才 终 止 整 条 隧道 。 

被 封装 的 数据 包 在 隧道 的 两 个 端点 之 间 通 过 公共 互联 网 络 进行 路 由 。 被 封装 数据 包 
在 公共 互联 网 络 上 传递 时 所 经 过 的 逻辑 路 径 称 为 隧道 。 一 旦 到 达 网 络 终点 ,数据 将 被 解 
包 并 转发 到 最 终 目 的 地 。 注 意 隧 道 技 术 是 指 包括 数据 封装 、 传 输 和 解 包 在 内 的 全 过 程 , 如 
图 A-10 所 示 。 

隧道 所 使 用 的 传输 网 络 可 以 是 任何 类 型 的 公共 互联 网 络 ,目前 主要 以 普遍 使 用 
Internet。 隧 道 一 旦 建立 ,数据 就 可 以 通过 隧道 发 送 。 隧 道 客户 端 和 服务 器 使 用 隧道 数据 
传输 协议 准备 传输 数据 。 例 如 , 当 隧 道 客户 端 向 服务 器 端 发 送 数据 时 ,客户 端 首先 给 负载 
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数据 加 上 一 个 隧道 数据 传送 协议 包头 ,然后 把 封装 的 数据 通过 互联 网 络 发 送 , 并 由 互联 网 
络 将 数据 路 由 到 隧道 的 服务 器 端 。 隧 道 服务 器 端 收 到 数据 包 之 后 ,去 除 隧道 数据 传输 协 
议 包 头 , 然 后 将 负载 数据 转发 到 目标 网 络 。 


Internet 


图 A-10 封装 的 数据 包 在 隧道 传输 


A7 VPN 隧道 协议 


VPN 虚拟 专用 网 的 实现 依赖 于 隧道 (Tunnel) 技 术 , 隧 道 是 一 个 虚拟 的 点 对 点 的 连 
接 。 通 过 使 用 互联 网 络 的 基础 设施 ,在 网 络 之 间 传 递 数 据 的 方式 。 使 用 隧道 传递 的 数据 
可 以 是 不 同 协议 的 数据 包 , 隧 道 协议 将 这 些 协 议 的 数据 包 重新 封装 在 新 的 包头 中 发 送 。 
新 的 包头 提供 了 路 由 信息 ,从 而 使 封装 的 数据 能 够 通过 互联 网 络 传 递 。 隧 道 提供 一 条 虚 
拟 通路 ,使 封装 的 数据 包 能 够 在 这 个 通路 上 传输 。 为 创建 传输 隧道 ,隧道 两 端的 客户 机 和 
服务 器 必须 使 用 相同 的 隧道 协议 。 
目前 较为 常见 的 隧道 协议 大 致 有 两 类 : 第 二 层 隧 道 协议 (包括 PPTP.L2F.L2TP) fll 
第 三 层 隧道 协议 (包括 IPSec, MPLS,SSL 等 )。 第 二 层 和 第 三 层 隧道 协议 的 区 别 主要 在 
F: 用 户 数据 在 网 络 协议 栈 的 第 几 层 被 封装 。 第 二 层 隧 道 协议 多 用 于 传输 第 二 层 网 络 协 
议 ,主要 应 用 于 构建 远程 访问 虚拟 专 网 (Access VPN); 第 三 层 隧道 协议 多 用 于 传输 第 三 
层 网 络 协议 ,主要 应 用 于 构建 企业 内 部 虚拟 专 网 (Intranet VPN) 和 扩展 的 企业 内 部 虚拟 
专 网 (Extranet VPN). 
无 论 哪 种 隧道 协议 都 是 由 传输 的 载体 .不 同 的 封装 格式 以 及 被 传输 数据 包 组 成 。 以 
第 二 层 隧 道 协 议 L2TP 为 例 ,隧道 协议 的 基本 组 
IP. UDP L2TP PPP( 数据) 成 如 图 A-11 BUR. 
传输 协议 。 封装 协议 。 乘客 协议 图 A-11 所 示 隧 道 协 议 格式 中 “传输 协议 ”， 
图 A-11 隧道 协议 的 基本 格式 主要 被 用 来 传送 封装 协议 ,IP 是 一 种 常见 的 传输 
协议 ,这 是 因为 IP 具有 强大 的 路 由 选择 能 力 , 可 
以 运行 于 不 同 介质 上 , 且 应 用 最 为 广泛 ,此 外 帧 中 继 .ATM、PVC 和 SVC 也 是 合适 的 传 
输 协议 。 如 用 户 想 通 过 Internet 将 其 分 公司 网 络 连接 起 来 .网 络 环境 是 IPX, 这 时 用 户 就 
可 以 使 用 IP 作为 传输 协议 ,通过 封装 协议 封装 IPX 的 数据 包 , 就 可 以 在 Internet 网 上 传 
送 IPX 数据 。 
图 A-11 所 示 隧 道 协议 格式 中 “封装 协议 ”被 用 来 建立 ,保持 和 拆 印 隧道 ,包括 L2F、 
L2TP.GRE 等 协议 。 而 “乘客 协议 ” 则 是 被 封装 的 协议 ,可 以 是 PPP、SLIP。 
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1. PPIP 点 对 点 通道 协议 

第 二 层 隧 道 协 议 点 到 点 隧道 协议 (Point to Point Tunneling Protocol. PPTP) 是 点 对 
点 的 安全 隧道 协议 ,为 使 用 电话 上 网 的 用 户 提供 安全 VPN 业务 ,1996 年 成 为 IETF 草 
案 。PPTP 提供 了 在 IP 网 上 建立 多 协议 的 安全 VPN 的 通信 方式 , 远 端 用 户 通过 任何 支 
持 PPTP 的 ISP, 访 问 企 业 的 专用 网 络 。PPTP 提供 PPTP 客户 机 和 PPTP 服务 器 之 间 
的 保密 通信 。PPTP 客户 机 是 指 运行 该 协议 的 PC 机 ,如 启动 该 协议 的 Windows XP. 
PPTP 服务 器 是 指 运行 该 协议 的 服务 器 ,如 启动 该 协议 的 Windows NT 服务 器 。 

PPTP 可 看 做 是 PPP 协议 一 种 扩展 ,PPTP 将 PPP 帧 封装 进 IP 数据 包 中 ,通过 
Internet 及 Intranet 等 发 送 ,提供 了 一 种 在 Internet 上 建立 多 协议 的 安全 虚拟 专用 网 的 
通信 方式 , 远 端 用 户 能 够 通过 任何 支持 PPTP 的 ISP 服务 访问 公司 专用 网 络 。 

如 图 A-12 所 示 PPTP 点 对 点 通道 协议 工作 场景 , Internet 拨号 客户 首先 按 常 规 方 
式 ,拨号 到 ISP 的 接 人 服务 器 ,建立 PPP 连接 。 在 此 基础 上 客户 进行 二 次 拨号 ,建立 到 
PPTP 服务 器 的 连接 ,该 连接 称 为 PPTP 隧道 。 实 质 上 是 基于 IP 协议 上 的 另 一 个 PPP 连 
接 , 其 中 的 IP 包 可 以 封装 多 种 协议 数据 ,包括 TCP/IP 或 IPX. 

2. 基 于 RSA 进行 PPTP 认 证 


CET RC4 对 数据 加 密 


lll = 


PPTP 服 务 器 


Imternet 或 
IP [jeg 


1. 拨 号 ， Hr PPP 连 接 
图 A-12 PPTP 点 对 点 通道 协议 工作 过 程 


PPTP 采用 了 基于 RSA 公司 RC4 的 数据 加 密 方法 ,保证 了 虚拟 连接 通道 的 安全 性 。 
对 于 直接 连 到 Internet. 上 的 客户 , 则 不 需要 第 一 次 PPP. 的 拨号 连接 ,可 以 直接 与 PPTP 
服务 器 建立 虚拟 通道 。 

PPTP 最 大 优势 是 Microsoft 公司 支持 ,Windows NT4. 0 已 经 包括 了 PPTP 客户 机 
和 服务 器 功能 。PPTP 另外 一 个 优势 是 它 支 持 流量 控制 ,可 保证 客户 机 与 服务 器 间 不 拥 
塞 ,改善 通信 性 能 ,最 大 限度 地 减少 包 丢 失 和 重 发 现象 。PPTP 把 建立 隧道 主动 权 交 给 了 
客户 ,但 客户 需要 在 其 PC 上 配置 PPTP, 这 样 做 既 会 增加 用 户 的 工作 量 , 又 会 造成 网 络 的 
安全 隐患 。 另 外 ,PPTP 仅 工 作 于 IP, 不 具有 隧道 终点 的 验证 功能 ,需要 依赖 用 户 的 验证 。 


2 LZP Hig 
第 二 层 隧道 协议 L2TP(Layer 2 Tunneling Protocol) ,是 一 种 工业 标准 的 Internet 隧 
道 协议 ,功能 大 致 和 PPTP 协议 类 似 ,如 同样 可 以 对 网 络 数 据 流 进行 加 密 。 不 过 不 同 之 处 
是 ,如 PPTP 要 求 网 络 为 IP 网 络 ,而 L2TP 则 要 求 面 向 连接 的 点 对 点 连接 ;PPTP 使 用 单 
一 隧道 ,L2TP 使 用 多 隧道 ;L2TP 提供 包头 压缩 、 隧 道 验证 ,而 PPTP 不 支持 。 
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L2TP 从 客户 端 或 访问 服务 器 端 发 起 VPN 连接 ,把 链 路 层 形成 的 PPP 帧 封装 在 公 
共 网 络 ( 如 IP、.ATM、 帧 中 继 ) 中 进行 隧道 传输 的 封装 。L2TP 的 好 处 就 在 于 支持 多 种 协 
议 , 用 户 可 以 保留 原 有 的 IPX、Appletalk 等 协议 或 原 有 的 IP 地 址 ,整合 多 协议 服务 至 现 
有 的 因特网 服务 提供 商 点 。 

L2TP 定义 了 多 协议 跨越 第 二 层 点 对 点 链接 的 一 个 封装 机 制 ,特别 地 适用 于 用 户 使 
用 众多 技术 (如 拨号 ISDN, ADSL. 等 ) ,获得 第 二 层 连 接 到 网 络 访问 服务 器 (NAS) ,如 
图 A-13 所 示 。 


L2TP Network 
Server 


ei 


L2TP 还 解决 了 多 个 PPP 链 路 的 捆绑 问题 ,PPP 链 路 捆绑 要 求 其 成 员 均 指向 同一 个 
NAS (网 络 访问 服务 器 ) ,L2TP 可 以 使 物理 上 连接 到 不 同 NAS 的 PPP 链 路 ,在 逻辑 上 的 
终结 点 为 同一 个 物理 设备 。L2TP 扩展 了 PPP 连接 ,在 传统 方式 中 ,用 户 通 过 模拟 电话 
线 或 ISDN/ADSL 与 网 络 访问 服务 器 (NAS) 建 立 一 个 第 二 层 的 连接 ,并 在 其 上 运行 
PPP。 第 二 层 连接 的 终结 点 和 PPP 会 话 的 终结 点 在 同一 个 设备 上 (如 NAS), L2TP 作为 
PPP 的 扩展 ,提供 更 强大 的 功能 ,包括 第 二 层 连接 的 终结 点 和 PPP 会 话 的 终结 点 可 以 是 
不 同 的 设备 。 

L2TP 主要 由 LAC(L2TP Access Concentrator) 和 LNS (L2TP Network Server) 
构成 。LAC 是 支持 客户 端的 L2TP, 用 于 发 起 呼叫 接收 呼叫 和 建立 隧道 ;LNS 是 所 有 隧 
道 的 终点 ,在 传统 的 PPP 连接 中 ,用 户 拨 号 连接 的 终点 是 LAC.L2TP 使 得 PPP 协议 的 
终点 延伸 到 LNS。 


3 IPSec 协议 

第 二 层 隧道 协议 PPTP、L2TP 等 各 和 白 有 自己 的 优点 ,但 是 都 没有 很 好 地 解决 隧道 加 
密 和 数据 加 密 的 问题 。 而 第 三 层 隧道 协议 IPSec 协议 则 把 多 种 安全 技术 集合 到 一 起 , 建 
立 一 个 安全 可靠 的 隧道 。 这 些 技术 包括 Diffie-Hellman 密 钥 交换 技术 , DES, RC4、 
IDEA 数据 加 密 技术 , 哈 希 散 列 算法 HMAC,MDS,SHA ,数字 签名 技术 等 。 

IPSec 协议 定义 了 如 何在 IP 数据 包 中 增加 字段 来 加 密 数 据 包 ,以 保证 IP 包 的 完整 
性 ,私有 性 和 真实 性 。 使 用 IPSec 协议 封装 的 数据 在 公 网 上 传输 ,而 不 必 担 心 数 据 被 监 
视 、 修 改 或 伪造 ,提供 了 两 个 主机 之 间 、 两 个 安全 网 关 之 间 或 主机 和 安全 网 关 主 机 之 间 的 
保护 。 

自从 1995 年 开始 IPSec 的 研究 工作 以 来 ,IETF IPSec 工作 组 在 它 的 主页 上 发 布 了 


图 A-13 L2TP 协议 工作 模型 
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几 十 个 Internet 草案 文献 和 12 个 RFC 文件 。 第 三 层 隧道 协议 IPSec 实际 上 是 一 套 协议 
包 而 不 是 一 个 单个 的 协议 , 它 是 一 组 开放 的 网 络 安全 协议 的 总 称 , 其 中 比较 重要 的 有 
RFC2409 IKE 互联 网 密 钥 交换 .RFC2401 IPSec 协议 .RFC2402 AH 验证 包头 、RFC2406 
ESP 加 密 数 据 等 文件 。IPSec 协议 族 为 VPN 网 络 提供 访问 控制 .无 连接 的 完整 性 ,数据 
来 源 验证 、 防 重 放 保护 、 加 密 以 及 数据 流 分 类 加 密 等 一 系列 服务 。 

IPSec 在 IP 层 提供 安全 服务 ,IPSec 协议 的 安全 结构 包括 3 个 基本 协议 : AH 协议 十 
ESP 协议 十 ISAKMP 密 钥 管 理 协 议 。 其 中 报 文 验证 头 协 议 AH 协议 为 TP 包 提 供 信息 源 
验证 和 完整 性 保证 ,主要 提供 的 数据 来 源 验 证 数据 完 整 性 验证 和 防 报 文 重 放 功能 ; 报 文 
安全 封装 协议 ESP 协议 提供 加 密 认 证 ,ESP 在 AH 协议 提供 安全 的 功能 之 外 ,再 提供 对 
IP 报 文 的 加 密 功能 ; 密 钥 管理 协议 (ISAKMP) 提供 双方 交流 时 的 共享 安全 信息 , 如 
图 A-14 所 示 。 


IPEK | AH 包头 | ESP 包 头 | 上 层 协议 (数据 ) 


图 A-14 IPSec 协议 的 安全 结构 


AH 和 ESP 同时 具有 认证 功能 ,IPSec 存在 两 个 不 同 的 认证 协议 ,是 因为 ESP 要 求 
使 用 高 强度 密码 学 算法 ,无 论 实 际 上 是 否 在 使 用 。 而 高 强度 密码 学 算法 在 很 多 国家 都 存 
在 很 严格 的 政策 限制 ,但 认证 措施 是 不 受 限 制 ,因此 AH 可 以 在 全 世界 自由 使 用 。 另 外 
一 个 原因 是 很 多 情况 下 人 们 只 使 用 认证 服务 。 

AH 或 ESP 协议 都 支持 两 种 模式 的 使 用 : 隧道 模式 和 传输 模式 。 隧 道 模 式 对 在 不 
安全 的 传输 链 路 或 Internet 上 ,对 内 部 专用 IP 数据 包 进 行 加 密 和 封装 (此 种 模式 适合 于 
有 NAT 的 环境 ) 。 传 输 模 式 直 接 对 IP 负载 内 容 ( 即 TCP 或 UDP 数据 ) 加 密 ( 适 合 于 无 
NAT 的 环境 ) 。 


4 SSL VPN 

IPSec VPN 是 一 种 比较 成 熟 的 VPN 技术 , 它 能 够 实现 不 同 子 公司 与 总 部 的 两 个 不 
同 的 局 域 网 远程 连接 成 一 个 虚拟 局 域 网 ,从 而 在 广域网 间 实 现 以 前 只 有 在 局 域 网 内 ,才能 
实现 的 安全 应 用 操作 , 它 给 当前 的 企业 带 来 了 很 多 革命 性 的 好 处 。 

当前 大 多 数 远 程 访问 解决 方案 是 利用 基于 第 三 层 隧道 协议 IPSec 安全 协议 模型 建立 
的 VPN 网络。 最 新 的 研究 表明 ,近乎 90% 的 企业 利用 VPN 进行 内 部 网 和 外 部 网 连接 ， 
大 都 只 用 来 进行 WWW 访问 和 电子 邮件 通信 ,另外 10% 的 用 户 集中 在 诸如 聊天 和 其 他 
私有 客户 端 应 用 。 而 这 些 集中 在 90% 的 应 用 的 客户 都 可 以 利用 一 种 更 简单 的 VPN 技 
术 一 一 SSL VPN 一 一 来 提供 更 安全 、 有 效 的 解决 方案 。 基 于 SSL 协议 的 VPN 远程 访问 
方案 ,更 加 容易 配置 和 管理 ,网 络 配 置 成 本 比 IPSec VPN 也 要 低 很 多 ,所 以 许多 企业 开始 
转向 利用 基于 SSL 协议 的 远程 访问 技术 来 实现 VPN 通道 。 

SSL 英文 全 称 是 Secure Sockets Layer, 中 文 名 为 “安全 套 接 协议 层 ”, 它 是 网 景 公司 
提出 的 基于 Web 应 用 安全 协议 。SSL 是 一 种 在 Web 服务 协议 (HTTP) 和 TCP/IP 之 间 
提供 数据 连接 安全 的 协议 ,为 TCP/IP 连接 提供 数据 加 密 ,服务 器 身份 验证 和 消息 完整 性 
验证 。SSL 被 视 为 因特网 上 Web 浏览 器 和 服务 器 之 间 实 现 连接 的 安全 标准 。 
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SSL VPN 通信 基于 标准 TCP/UDP 协议 传输 ,因而 能 遍历 所 有 NAT 设备 、 基 于 代 
理 的 防火 墙 和 状态 检测 防火 墙 。 这 使 得 用 户 能 够 从 任何 地 方 接 入 ,无 论 是 处 于 其 他 网 络 
中 ,还 是 基于 代理 的 防火 墙 中 ,或 是 宽带 网 络 连接 中 ,而 IPSec VPN 在 稍 复杂 的 网 络 结构 
中 则 难以 实现 ,因为 它 很 难 实现 防火 墙 和 NAT 遍历 ,无力 解决 IP 地 址 冲突 。 相 对 于 传 
统 IPSec VPN 而 言 ,SSL VPN 似乎 正好 可 以 跟 它 互补 。 此 外 SSL VPN 具有 部 署 简单 ， 
无 客户 端 ,维护 成 本 低 , 网 络 适应 强 等 特点 ,SSL VPN 能 让 企业 实现 更 多 远程 用 户 在 不 
同 地 点 接 入 ,实现 更 多 网 络 资源 访问 , 且 对 客户 端 设备 要 求 低 ,因而 降低 了 配置 和 运行 支 
撑 成 本 。 

SSL 安全 套 接 层 协议 ,主要 是 使 用 公开 密 钥 体 制 和 X. 509 数字 证 书 技术 ,保护 信息 
传输 的 机 密 性 和 完整 性 , 它 主 要 适用 于 点 对 点 之 间 的 信息 传输 ,常用 Web Server 方 式 。 


5 MPLS VPN 

多 协议 标签 交换 (MPLS) 是 一 种 在 开放 的 通信 网 上 ,利用 标签 引导 数据 高 速 .高效 传 
输 的 新 技术 。 这 个 网 络 层 包 转 发 的 新 兴 标 准 主要 基于 互联 网 工作 组 (IETF) 提 交 的 一 系 
列 信 令 协 议 , 包 括 标 记分 配 协议 (LDP) ,资源 预 留 协议 (RSVP) 和 限制 路 由 的 标记 分 配 协 
议 (CR-LDP) 等 。MPLS 是 一 种 可 在 多 种 第 二 层 协议 上 进行 标记 交换 而 不 用 改变 现 有 路 
由 协议 的 网 络 技术 ,将 路 由 与 交换 合 二 为 一 。 

多 协议 标签 交换 MPLS 把 第 三 层 的 智能 化 .扩展 性 与 第 二 层 交 换 机 制 (面向 连接 的 
服务 除外 ?结合 起 来 ,从 而 使 这 种 标记 交换 表现 为 第 三 层 的 交换 , 却 具备 第 二 层 的 速度 。 
MPLS 能 够 在 一 个 无 连接 的 网 络 中 引入 连接 模式 的 特性 ,兼容 现 有 的 各 种 主流 网 络 技术 ， 
被 业界 认为 是 数据 网 络 领域 内 最 有 前 途 的 网 络 解决 方案 之 一 。 在 IP 网 组 建 中 ,MPLS 流 
量 技术 成 为 主要 的 管理 网 络 流量 ,减少 拥塞 .保证 IP 网 络 QoS 的 重要 工具 。 在 解决 企业 
网 互 连 ,提供 各 种 新 业务 方面 ,MPLS VPN 也 越 来 越 被 运营 商 看 好 ,成 为 在 IP 网 络 运营 
商 提供 增值 业务 的 重要 手段 。 

MPLS 实际 上 就 是 一 种 隧道 技术 ,所 以 使 用 它 来 建立 VPN 隧道 是 十 分 容易 。 同 时 
MPLS 又 是 一 种 完备 的 网 络 技术 ,可 以 用 它 来 建立 起 VPN 成 员 之 间 简 单 而 高 效 的 VPN 
Wik. MPLS VPN 技术 适用 于 实现 网 络 服务 质量 (QoS) 服务 等 级 划分 以 及 对 网 络 资源 
的 利用 率 、 网 络 的 可 靠 性 等 有 较 高 要 求 的 VPN 业务 中 。 

通常 MPLS 包头 的 结构 如 图 A-15 所 示 , 包 含 20b 的 标签 ,3b 的 EXP, MPLS 包头 
的 位 置 介 于 第 二 层 和 第 三 层 之 间 ,俗称 2.5 层 ,可 以 承载 的 报 文通 常 是 IP 包 (当然 也 可 以 
改进 ,直接 承载 以 太 包 、ATM 的 AAL5 包 甚 至 ATM 信 元 等 )。 可 以 承载 MPLS 二 层 协 
议 可 以 是 PPP、 以 太 网 .ATM 和 帧 中 继 等 。 

对 于 PPP 或 以 太 网 二 层 封装 ,MPLS 包头 结构 如 图 A-20 所 示 , 但 是 对 于 ATM 或 帧 
中 继 , MPLS 则 直接 采用 分 别 采 用 VPI/VCI x DLCI 作为 转发 的 标签 。 

多 协议 标签 交换 (MPLS) 是 时 下 最 热门 的 技术 之 一 , 它 将 灵活 的 三 层 IP 选 路 和 高 速 
的 二 层 交换 技术 完美 地 结合 起 来 ,从 而 弥补 了 传统 IP 网 络 的 许多 缺陷 。 它 引入 了 新 的 标 
签 结 构 , 对 IP 网 络 的 改变 较 大 ,引入 了 “显示 路 由 ”机 制 ,为 QoS 提供 了 更 为 可 靠 的 保证 。 
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图 A-15 不 同 网 络 中 MPLS 包头 结构 


A8 IPSec VPN 技术 


关于 IPSec VPN 技术 在 生活 中 的 应 用 , 先 看 一 个 实际 的 例子 。 

某 人 通过 网 络 购买 一 本 《数字 化 生存 》, 当 网 络 订 单传 递 到 书店 时 ,问题 出 现 了 。 管 理 
员 想 知道 这 是 一 个 真 的 订单 吗 ? 它 真 的 是 从 客户 那里 发 送出 来 的 吗 ? 订单 在 传输 的 过 程 
中 被 黑客 修改 过 ?黑客 会 不 会 把 订购 数目 从 1 本 改 成 100 本 ,或 把 地 址 做 修改 ? 这 样 的 
例子 举 不 胜 举 , 只 要 有 信息 在 网 上 传递 ,就 需要 考虑 信息 源 的 可 靠 性 和 数据 的 完整 性 。 

第 三 层 隧道 协议 IPSec 协议 可 以 有 效 解 决 以 上 疑问 ,IPSec 协议 是 一 个 应 用 广泛 、 
放 的 VPN 安全 协议 , 它 提供 所 有 在 网 络 层 上 的 数据 保护 ,进行 透明 的 安全 通信 。 

众所周知 , 当 数据 在 公 网 上 传输 时 ,IP 包 本 身 并 不 继承 任何 安全 特性 ,所 以 很 容易 便 
可 伪造 出 TP. 包 的 地 址 、 修 改 其 内 容 、 重 播 以 前 的 包 以 及 在 传输 途中 拦截 并 查看 包 的 内 容 。 
因此 不 能 确认 是 否 收 到 正确 的 IP 数据 报 。 

(1) 来 自 原先 要 求 的 发 送 方 ; 

(2) 包含 的 是 发 送 方 当初 放 在 其 中 的 原始 数据 ; 

(3) 原始 数据 在 传输 中 途 未 被 其 他 人 看 过 。 

针对 以 上 这 些 问题 ,IPSec 可 有 效 地 保护 IP 数据 报 的 安全 。IPSec 主要 功能 是 为 IP 
通信 中 数据 包 提 供 加 密 和 认证 ,为 IP 网 络 通信 提供 透明 的 安全 服务 ,保护 TCP/IP 通信 
免 遭 窃听 和 算 改 ,可 以 有 效 抵御 网 络 攻击 ,支持 IP 网 络 上 数据 的 安全 传输 。 它 采取 的 具 
体 保护 形式 包括 : 数据 起 源 地 验证 ;无 连接 数据 的 完整 性 验证 ;数据 内 容 的 机 密 性 验证 ; 
抗 重播 保护 ;以 及 有 限 的 数据 流 机 密 性 保证 。 

IPSec 是 IETF 组 织 制 定 的 第 三 层 隧道 协议 ,IPSec 为 保障 IP 数据 报 的 安全 ,定义 了 
一 个 特殊 的 方法 , 它 规定 了 要 保护 什么 通信 、 如 何 保护 它 以 及 通信 数据 发 给 何人 ,以 保证 
在 Internet. 上 传送 数据 的 安全 性 。 特 定 通信 方 之 间 在 IP 层 ,使 用 IPSec 协议 来 加 密 数 据 
源 与 验证 数据 源 ,确保 数据 包 在 Internet. 上 传输 时 的 私有 性 、 完 整 性 和 真实 性 。 
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IPSec 不 是 一 个 单独 协议 ,而 是 一 组 开放 协议 总 称 ,是 应 用 于 IP 层 网 络 数据 安全 的 
一 整套 体系 结构 , 它 包括 网 络 安全 协议 AH 协议 和 ESP 协议 、 密 钥 管 理 协议 IKE. 协议 和 
用 于 网 络 验证 及 加 密 的 一 些 算法 等 。 为 保证 数据 安全 ,IPSec 使 用 IKE 进行 协议 及 算法 
协商 ,采用 由 IKE 生成 密码 来 加 密 和 验证 ,在 TP 层 提供 安全 服务 ,对 TP 及 所 承载 的 数据 
提供 保护 ,这 些 保护 通过 两 个 安全 协议 AH 和 ESP 加 密实 现 。 如 图 A-16 给 出 了 各 协议 
之 间 的 关系 。 


TPSec 体 系 


i 


ESP 封 装 安全 载荷 AH 认证 头 


解释 域 DOI 
i 
密 钥 管 理 | 一 一 一 上 和 


图 A-16 IPSec 协议 体系 结 


对 IPSec 协议 体系 结构 详细 说 明 如 下 : 

(D AH 为 IP 数据 包 提供 无 连接 数据 完整 性 和 数据 源 身 份 认证 ,同时 具有 防 重 放 攻 
击 能 力 。 数 据 完整 性 校 验 通过 消息 认证 码 ( 如 MD5) 产 生 校 验 值 来 保证 ;数据 源 身 份 认证 
通过 在 待 认证 的 数据 中 加 入 一 个 共享 密 钥 来 实现 ;AH 报头 中 序列 号 可 以 防止 重 放 攻 击 。 

© ESP 为 IP 数据 包 提供 数据 的 保密 性 (通过 加 密 机 制 ) ,无 连接 的 数据 完整 性 .数据 
源 身份 认证 以 及 防 重 放 攻 击 保护 。 与 AH 相 比 ,数据 保密 性 是 ESP 的 新 增 功能 ,数据 源 
身份 认证 ,数据 完整 性 检验 以 及 重 放 保护 都 是 AH 可 以 实现 的 。 

C AH 和 ESP 可 以 单独 使 用 ,也 可 以 配合 使 用 。 通 过 这 些 组 合 方式 ,可 以 在 两 台 
主机 、 两 台 安全 网 管 (防火 墙 和 路 由 器 ) 或 者 主机 与 安全 网 管 之 间 配 置 多 种 灵活 的 安全 
机 制 。 

CD 解释 域 (DOD 将 所 有 的 IPSec 协议 捆绑 在 一 起 ,是 IPSec 安全 参数 的 主要 数据 库 。 

C) 密 钥 管理 包括 IKE 协议 和 安全 联盟 (SA) 等 部 分 。IKE 在 通信 系统 之 间 建 立 安全 
联盟 ,提供 密 钥 管理 和 密 钥 确定 的 机 制 ,是 一 个 产生 和 交换 密 钥 材料 并 协调 IPSec 参数 的 
框架 。 

IPSec 协议 族 中 的 包括 三 个 主要 协议 ,各 部 分 的 功能 如 下 。 


1 AH 协议 
IPSec 认证 包头 AH 是 一 个 用 于 提供 IP 数据 报 完整 性 和 认证 的 机 制 , 其 完整 性 是 保 
证 数据 包 不 被 无 意 或 恶意 的 方式 改变 ,而 认证 则 验证 数据 的 来 源 ( 识 别 主 机 用户、 网 络 
等 )。 在 网 上 实现 IPSec 安全 通信 ,将 AH 插 到 标准 IP 包头 后 面 ,AH 采用 安全 哈 希 算法 
来 对 数据 包 进 行 保护 ,保证 数据 包 的 完整 性 和 真实 性 ,防止 黑客 截断 数据 包 或 向 网 络 中 插 
和信 伪 造 的 数据 包 , 如 图 A-17 所 示 。 
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图 A-17 AH 对 JIP 包 头 封装 


AH 使 用 的 包头 放 在 标准 的 IPv4 和 IPv6 包头 和 下 一 个 高 层 协议 帧 (如 TCP, UDP, 
ICMP 等 ) 之 间 ,如 图 A-18 所 示 。 


mr IPSec 传输 层 
报头 | UO | 报头 应 用 程序 数据 
报头 “| TCP/UDP 
T 
下 一 » 安全 参数 索引 二 而 认证 
报头 | KE (SP | 序列 号 |o (Hash 检查 和 ) 


图 A-18 IPSec 协议 包 中 AH 协议 


其 中 
。 下 一 个 报头 (Next Header 8 位 ) 一 一 该 字段 包含 跟 在 IPSec 头 之 后 的 第 四 层 协 议 
头 的 协议 号 。 如 果 第 四 层 协 议 是 TCP ,这 个 字段 的 值 是 6。 对 于 UDP, 它 的 值 将 
是 17。 
* 长度 (Payload Length 8 位 ) 一 一 这 个 字段 包含 IPSec 协议 头 长 度 减 2 的 值 。 
。 安全 参数 索引 (Security Parameters Index 32 位 ) 一 一 日 的 IP 地 址 IPSec 协议 以 
及 编号 ,它们 用 来 唯一 地 为 这 个 分 组 确定 SA。 
。 序列 号 (Sequence Number Field 32 位 ) 这 是 一 个 无 符号 单调 递增 的 计数 器 ， 
对 于 一 个 特定 的 SA, 它 实现 反 重 传 服务 。 这 些 信息 不 被 接收 对 等 实体 使 用 ,但 是 
发 送 方 必须 包含 这 些 信息 。 当 建立 一 个 SA 时 ,这 个 值 被 初始 化 为 0。 
AH 包头 可 以 保证 信息 源 的 可 靠 性 和 数据 的 完整 性 。 首 先 发 送 方 IP 包头 、 高 层 的 数 
据 ` 公 共 密 钥 这 三 部 分 通过 某 种 散 列 算法 进行 计算 ,得 出 AH 包头 中 的 验证 数据 ,并 将 
AH 包头 加 入 数据 包 中 ; 当 数据 传输 到 接收 方 时 ,接收 方 将 收 到 IP 包头 数据、 公共 密 钥 
以 相同 的 散 列 算法 进行 运算 ,并 把 得 出 的 结果 同 收 到 数据 包 中 的 AH 包头 进行 比较 ;如 
果 结 果 相 同 则 表明 数据 在 传输 过 程 中 没有 被 修改 ,并 且 是 从 真正 的 信息 源 处 发 出 。 
AH 协议 通过 在 整个 IP 数据 报 中 实施 一 个 消息 文摘 计算 来 提供 完整 性 和 认证 服务 。 
一 个 消息 文摘 就 是 一 个 特定 的 单 向 数据 函数 , 它 能 够 创建 数据 报 的 唯一 的 数字 指纹 。 消 
息 文 摘 算法 的 输出 结果 放 到 AH 包头 的 认证 数据 (Authentication_Data) 区 。 消 息 文 摘 算 
法 MD5 是 一 个 单 向 数学 函数 。 当 应 用 到 分 组 数据 中 时 , 它 将 整个 数据 分 割 成 若干 个 
128b 的 信息 分 组 。 每 个 128b 为 一 组 的 信息 是 大 分 组 数据 的 压缩 或 摘要 的 表示 。 当 以 这 
种 方式 使 用 时 ,MD5 只 提供 数字 的 完整 性 服务 。 一 个 消息 文摘 在 被 发 送 之 前 和 数据 被 接 
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收 到 以 后 都 可 以 根据 一 组 数据 计算 出 来 。 如 果 两 次 计算 出 来 的 文摘 值 是 一 样 的 ,那么 分 
组 数据 在 传输 过 程 中 就 没有 被 改变 ,这 样 就 防止 了 无 意 或 恶意 的 帘 改 。 

在 使 用 HMAC-MD5 认证 过 的 数据 交换 中 ,发 送 者 使 用 以 前 交换 过 的 密 钥 来 首次 计 
算数 据 报 的 64b 分 组 的 MD5 文摘 。 从 一 系列 的 16b 中 计算 出 来 的 文摘 值 被 累加 成 一 个 
值 ,然后 放 到 AH 包头 的 认证 数据 区 ,随后 数据 报 被 发 送 给 接收 者 。 接 收 者 也 必须 知道 
密 钥 值 ,以便 计算 出 正确 的 消息 文摘 ,并 且 将 其 与 接收 到 的 认证 消息 文摘 进行 适 配 。 如 果 
计算 出 的 和 接收 到 的 文摘 值 相 等 ,那么 数据 报 在 发 送 过程 中 就 没有 被 改变 ,而 且 可 以 相信 
是 由 只 知道 秘密 密 钥 的 另 一 方 发 送 的 。 

AH 不 能 提供 加 密 服 务 ,但 为 IP 通信 提供 数据 源 认 证 和 数据 完整 性 检验 , 它 能 保护 
通信 和 免 受 自 改 ,数据 源 认 证 以 及 可 选 的 反 重 传 服务 ,由 于 其 并 不 加 密 传 输 内 容 , 不 能 防止 
僵 听 ,这 就 意味 着 分 组 将 以 明文 形式 传送 。AH 提供 数据 完整 性 ,保护 其 在 发 送 接收 端 ， 
使 用 共享 密 钥 来 保证 身份 真实 性 :使 用 Hash 算法 在 每 一 个 数据 包 上 添加 一 个 身份 验证 
报头 ,来 实现 数据 完整 性 检验 。 因 此 在 通信 过 程 中 ,需要 预约 好 收发 两 端 Hash 算法 和 共 
SRL. 


2 ESP 协议 

由 于 AH 没有 对 用 户 数据 进行 加 密 。 如 果 黑 客 使 用 协议 分 析 仪 照样 可 以 窃取 在 网 
络 中 传输 的 敏感 信息 ,所 以 使 用 有 效 负载 安全 封装 (ESP) 协议 把 需要 保护 的 用 户 数据 进 
行 加 密 , 并 放 到 IP 包 中 ,ESP 提供 数据 的 完整 性 .可 靠 性 。 

ESP 主要 区 别 于 AH 协议 的 是 它 的 数据 安全 性 保证 , 它 使 用 预约 好 的 加 密 算 法 和 密 
钥 对 IP 包 进行 加 密 , 防 止 窃听 。 它 也 提供 AH 类 似 的 数据 源 认证 和 数据 完整 性 检验 。 
AH 协议 与 ESP 协议 可 以 联合 使 用 ,也 可 以 单独 使 用 。 

该 协议 通过 原始 分 组 的 加 密 来 提供 数据 机 密 性 。 另 外 ,ESP 还 提供 数据 源 认 证 、 完 
整 性 服务 、 反 重 传 服务 以 及 一 些 有 限制 的 流量 的 机 密 性 。 当 在 IPSec 流量 中 需要 数据 机 
密 性 时 ,应 该 使 用 ESP 协议 。ESP 协议 的 工作 方式 与 AH 不 一 样 。 正 如 它 的 名 字 上 暗示 的 
那样 ,ESP 使 用 一 个 头 和 一 个 尾 包围 原始 的 数据 报 ,从 而 封装 它 的 全 部 或 部 分 内 容 。 如 
图 A-19 所 示 给 出 了 ESP 协议 封装 的 过 程 。 


原始 分 组 
TP | 数据 | 


加 密 部 分 
认证 部 分 


A 
í IP 头 ESP 头 数据 = ICV 


图 A-19 ESP 协 议 封装 的 过 程 


3 Internet 密 钥 交换 协议 IKE 
无 论 实 现 AH R ESP 还 是 两 者 的 联合 ,收发 端 两 台 计 算 机 必须 首先 建立 某 种 约定 ， 
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这 种 约定 称 为 “安全 关联 ”。 安 全 关联 指 双方 需要 就 如 何 保护 信息 、 交 换 信息 等 公用 的 安 
全 设置 达成 一 致 。Internet 密 钥 交换 协议 (IKE) 用 于 在 两 个 通信 实体 协商 和 建立 安全 相 
关 ,交换 密 钥 。 安 全 相关 (Security Association) 是 IPSec 中 的 一 个 重要 概念 ,一 个 安全 关 
联 表 示 两 个 或 多 个 通信 实体 之 间 经 过 了 身份 认证 , 且 这 些 通信 实体 都 能 支持 相同 的 加 密 
算法 ,成 功 地 交换 了 会 话 密 钥 , 可 以 开始 利用 IPSec 进行 安全 通信 。IPSec 协议 本 身 没 有 
提供 在 通信 实体 间 建 立 安 全 关联 的 方法 ,利用 IKE 建立 安全 关联 。IKE 定义 了 通信 实体 
间 进 行 身份 认证 ,协商 加 密 算 法 以 及 生成 共享 的 会 话 密 钥 的 方法 ,如 图 A-20 所 示 。IKE 
中 身份 认证 采用 共享 密 钥 和 数字 签名 两 种 方式 , 密 钥 交换 采用 Diffie-Hellman 协议 。 


主机 A SA 协商 


SS 
TCP/UDP TCP/UDP 
传输 层 传输 层 
IPSec REET 
受 保护 的 LP RE 
ogoogoogg 


图 A-20 IKE 在 两 个 通信 实体 协商 和 建立 安全 相关 


IKE 协议 主要 是 对 密 钥 交换 进行 管理 ,主要 包括 对 使 用 的 协议 .加 密 算法 和 密 钥 进 
行 协商 ,建立 可 靠 的 密 钥 交换 机 制 。IKE 是 一 个 混合 协议 , 它 使 用 到 了 三 个 不 同 协议 的 
相关 部 分 : 安全 关联 和 密 钥 交换 协议 ISAKMP , 密 钥 确定 协议 OAKLEY 和 SKEME. 

IPSec 通过 AH 和 ESP 这 两 个 安全 协议 来 实现 对 TP 数据 报 或 上 层 协 议 的 保护 ,而且 
此 实现 不 会 对 用 户主 机 或 其 他 Internet 组 件 造成 影响 ,用 户 还 可 以 选择 不 同 的 加 密 算法 
而 不 会 影响 其 他 部 分 的 实现 。 

A 于 是 报 文 验证 头 协议 ,主要 提供 的 功能 有 数据 源 验证 .数据 完整 性 校 验 和 防 报 文 重 
放 功 能 。ESP 是 封装 安全 载荷 协议 , 它 除 提供 AH 协议 的 所 有 功能 之 外 ,还 可 提供 对 TP 
报 文 的 加 密 功 能 。AH 和 ESP 可 以 单独 使 用 ,也 可 以 同时 使 用 。 

IPSec 协议 可 以 设置 成 在 两 种 模式 下 运行 : 一 种 是 隧道 CTunnel) 模 式 , 一 种 是 传输 
(Transport) 模 式 。 传 输 模式 只 对 IP 数据 包 的 有 效 负 载 进行 加 密 或 认证 ,此 时 继续 使 用 
原始 IP 头 部 。 传 输 模式 对 IP 包 的 路 由 支持 较 好 。 隧 道 模式 对 整个 IP 数据 包 进 行 加 密 
或 认证 。 此 时 ,需要 新 产生 一 个 IP 头 部 ,原来 IP 头 被 加 密 , 有 效 地 防止 “中 间 人 ”攻击 。 
传输 模式 是 为 了 保护 端 到 端的 安全 性 , 即 在 这 种 模式 下 不 会 隐藏 路 由 信息 ,如 图 A-21 
所 示 。 

在 隧道 模式 下 ,IPSec 把 IPv4 数据 包 封 装 在 安全 的 TP 帧 中 ,这 样 保护 从 一 个 防火 墙 
到 另 一 个 防火 墙 时 的 安全 性 。 在 隧道 模式 下 ,信息 封装 是 为 了 保护 端 到 端的 安全 性 , 即 在 
这 种 模式 下 不 会 隐藏 路 由 信息 。 隧 道 模式 是 最 安全 的 ,但 会 带 来 较 大 的 系统 开销 。 

如 图 A-22 所 示 IPSec 的 安全 体系 可 以 看 出 ,IPSec 提供 的 安全 服务 还 需要 用 到 共享 
密 钥 ,因特网 密 钥 交换 协议 ,为 IPSec 提供 了 自动 协商 交换 密 钥 ,建立 和 维护 安全 联盟 的 
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服务 ,能 够 简化 IPSec 使 用 和 管理 。 


IPSec 安全 体系 
NE ENS 1 
ESP 协 议 AH 协议 
i 1 1 
传输 模式 ir [an J| rce ]| para WERE 认证 算法 
iP || rce || para 
eq. DO pe 
隧道 模式 [IP [ Arr ][ TP ]| TCP || para i 
新 包头 IKE 协议 
图 A-21 IPSec 协议 工作 模式 图 A-22 IPSec 协议 的 组 成 体系 


安全 策略 按照 优先 级 的 先后 顺序 ,创建 可 供 使 用 的 加 密 和 隧道 机 制 以 及 验证 方式 。 
当 需 要 建立 通信 时 ,双方 机 器 执行 相互 验证 ,然后 协商 使 用 何 种 加 密 方式 。 此 后 的 所 有 数 
据 流 都 将 使 用 双方 协商 的 加 密 机 制 进行 加 密 , 然 后 封装 在 隧道 包头 内 。 

IPSec 协议 的 优点 : 它 定义 了 一 套用 于 保护 私有 性 和 完整 性 的 标准 协议 ;IPSec 支持 
一 系列 加 密 算 法 如 DES.3DES IDEA; 它 检查 传输 的 数据 包 的 完整 性 ,以 确保 数据 没有 被 
修改 ,具有 数据 源 认 证 功能 ;IPSec 可 确保 运行 在 TCP/IP 协议 上 的 VPN 之 间 的 互 操 

IPSec 隧道 模式 具有 以 下 局 限 : IPSec 需要 已 知 范围 IP 地 址 或 固定 范围 IP 地 址 , 因 
此 在 动态 分 配 地 址 时 不 太 适 合 于 IPSec; 除 了 TCP/IP 协议 以 外 ,IPSec 不 支持 其 他 协议 ， 
只 能 支持 IP 数据 流 ; 除 了 包 过 滤 外 , 它 没有 指定 其 他 访问 控制 方法 ;对 于 采用 NAT 方式 
访问 公共 网 络 的 情况 难以 处 理 ;IPSec 目前 还 仅 支持 单 播 的 (Unicast)IP 数据 包 , 不 支持 
多 播 (Multicast) 和 广播 (Broadcast) 的 IP 数据 包 。 


A9  SSL VPN 技术 


关于 SSL VPN 技术 在 生活 中 的 应 用 , 先 看 一 个 实际 的 例子 。 

XXXX 公司 的 分 公司 、 办 事 处 和 移动 办 公 员 工 需 要 访问 财务 、 人 力 资源 和 工程 信息 
管理 系统 以 及 其 他 数据 库 、 文 件 等 应 用 服务 器 。 这 些 应 用 系统 的 用 户 分 布 在 网 络 的 各 个 
位 置 , 接 入 方式 各 式 各 样 ,如 ADSL. 宽带 ,拨号 .无线 等 。 需要 在 保证 应 用 系统 稳定 可 靠 
运行 的 前 提 下 ,重视 应 用 数据 在 服务 器 与 用 户 终 端 之 间 传 输 的 安全 性 也 非常 重要 ,所 以 数 
据 的 私密 性 、 完 整 性 对 于 整个 集团 的 核心 业务 信息 是 重点 考虑 问题 。 

针对 公司 的 这 种 网 络 应 用 状况 ,在 规划 网 络 时 ,需要 考虑 如 下 要 素 。 

(1) 能 够 提供 安全 的 通道 ,解决 办 事 处 人 员 远 程 访问 ,保证 分 公司 和 总 公司 连通 性 ; 

(2) 保证 基于 Web 的 业务 系统 正常 .稳定 运行 ; 

G) 尽 最 大 可 能 保证 用 户 当前 的 网 络 拓扑 不 被 修改 ; 
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SSL VPN 技术 可 以 很 好 解决 以 上 遇 到 的 网 络 安全 问题 。 

第 三 层 隧 道 协议 SSL(Secure Socket Layer) 最 初 由 网 景 公司 开发 , 现 已 成 为 鉴别 网 
站 和 网 页 浏览 者 身份 ,以 及 客户 机 及 服务 器 之 间 进 行 加 密 通 信 的 全 球 化 标准 。 由 于 SSL 
技术 已 内 能 到 所 有 的 主流 浏览 器 和 Web 服务 器 程序 中 ,因此 仅 需 安装 数字 证 书 , 或 服务 
器 证 书 , 就 可 以 激活 服务 器 安全 服务 功能 。 

SSL VPN 利用 用 户 浏览 器 内 建 的 Secure Socket Layer 封包 处 理 功 能 ,用 浏览 器 连 
回 公司 内 部 SSL VPN 服务 器 ,然后 通过 网 络 封包 的 方式 ,让 使 用 者 的 客户 机 可 以 在 远程 
计算 机 执行 应 用 程序 , 读 取 公 司 内 部 服务 器 数据 。 这 一 传输 过 程 采用 标准 的 SSL 对 传输 
中 的 数据 包 进 行 加 密 , 从 而 在 应 用 层 保护 了 数据 的 安全 性 。 高 质量 的 SSL VPN 解决 方 
案 可 保证 企业 进行 安全 的 全 局 访问 。 

在 不 断 扩展 的 互联 网 Web 站 点 之 间 、 远 程 办 公 室 、 传 统 交易 大 厅 和 移动 客户 端 间 ， 
SSL VPN 克服 了 IPSec VPN 的 不 足 , 用 户 可 以 轻松 实现 安全 易 用 无需 客户 端 安装 , 且 
配置 简单 的 远程 访问 ,从 而 降低 用 户 的 总 成 本 并 增加 远程 用 户 的 工作 效率 。 而 在 这 些 同 
样 网 络 环境 中 ,由 于 网 络 地 址 转换 (NAT) 和 防火 墙 配置 技术 ,IPSec VPN 在 这 样 的 网 络 
结构 中 则 难以 实现 ,因为 IPSec VPN 很 难 实现 防火 墙 和 NAT 遍历 ,无 力 解 决 IP 地 址 冲 
突 。 相 对 于 传统 IPSec VPN 而 言 ,SSL VPN 似乎 正好 可 以 跟 它 互补 。 

SSL 协议 是 一 种 在 Internet. 上 保证 发 送信 息 安全 的 通用 协议 ,SSL 用 公 钥 加 密 ,通过 
SSL 连接 来 完成 传输 的 数据 来 工作 ,指定 应 用 程序 协议 (如 HTTP, Telnet 和 FTP 等 ) 和 
底层 协议 之 间 ,进行 数据 的 安全 交换 机 制 , 为 在 TCP/IP 通信 的 网 络 连接 中 ,提供 数据 加 
密 、 服 务 器 认证 以 及 可 选 的 客户 机 认证 服务 。 

SSL 安全 协议 主要 提供 以 下 方面 的 安全 认证 服务 。 

(1) 客户 机 和 服务 器 的 合法 性 认证 。 

确认 客户 机 和 服务 器 合法 性 ,提供 安全 认证 服务 ,使 数据 能 够 确信 被 发 送 到 正确 的 客 
户 机 和 服务 器 上 。 客 户 机 和 服务 器 都 有 各 自 识别 号 ,这 些 识 别 号 由 公开 密 钥 进行 编号 ,为 
了 验证 用 户 是 否 合法 ,安全套 接 层 协议 要 求 在 握手 交换 数据 时 进行 数字 认证 ,以 此 来 确保 
用 户 合法 性 。 

(2) 加 密 、 隐 藏 被 传送 的 数据 。 

安全 套 接 层 协议 所 采用 的 加 密 技 术 既 有 对 称 密 钥 技术 ,也 有 公开 密 钥 技术 。 在 客户 
机 与 服务 器 进行 数据 交换 之 前 ,交换 SSL 初始 握手 信息 ,在 SSL 握手 信息 中 ,采用 各 种 加 
密 技术 对 其 加 密 , 以 保证 其 机 密 性 和 数据 的 完整 性 ,并 且 用 数字 证 书 进行 鉴别 ,这 样 就 可 
以 防止 非法 用 户 进 行 破译 ,如 图 A-23 所 示 。 


waa SERN h 
m 
图 A-23 密 铀 技术 加 密 数 据 以 隐藏 传 送 
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除了 无 客户 端 ` 有 很 高 的 安全 性 以 外 ,最 重要 的 是 , 它 可 以 充分 发 掘 企业 应 用 的 潜能 。 
很 多 企业 已 经 建成 了 OA RR ERP 系统 , 接 下 来 ,就 希望 能 够 充分 利用 这 些 系统 。 通 过 
SSL VPN ,无 论 是 员工 、 合 作 伙伴 还 是 客户 ,都 能 够 访问 所 需 的 应 用 。 利 用 Internet 让 企 
业 现 有 应 用 发 挥 更 大 的 作用 ,这 才 是 SSL VPN 的 价值 所 在 。 

SSL VPN 则 最 适合 下 述 情况 : 企业 需要 通过 互联 网 (笔记 本 型 计算 机 、 家 用 个 人 计 
算 机 、Internet 信息 站 点 接 和 人) ,达到 广泛 而 全 面 的 信息 存 取 , 即 SSL VPN 更 加 适合 用 来 
解决 点 到 网 的 互联 问题 。 如 果 一 个 企业 同时 存在 网 间 互 连 和 点 到 网 的 互联 需求 ,必须 根 
据 远 程 访问 的 需求 与 目标 而 定 , 在 需要 点 到 网 互联 的 时 候 ,使 用 SSL 技术 最 合适 满足 用 
户 的 需求 ;在 需要 网 到 网 互 连 的 时 候 , 使 用 IPSec 最 合适 。 当 企业 需要 安全 的 点 对 点 连 
接 , 或 用 单一 装置 进行 远程 访问 ,并且 让 企业 拥有 管理 所 有 远程 访问 使 用 者 能 力 时 ,IPSec 
可 能 是 最 适合 的 解决 方案 , 即 IPSec 更 加 适合 用 来 解决 网 到 网 的 互联 问题 。 

SSL 协议 的 主要 用 途 是 在 两 个 通信 应 用 程序 之 间 提 供 私密 性 和 可 靠 性 ,SSL 协议 由 
许多 子 协 议 组 成 ,其 子 协议 包括 握手 协议 .记录 协议 以 及 警告 协议 三 部 分 。 握 手 协议 负责 
确定 用 于 客户 机 和 服务 器 之 间 的 会 话 加 密 参 数 ; 记 录 协 议 用 于 交换 应 用 数据 ;警告 协议 用 
于 在 发 生 错 误 时 终止 两 个 主机 之 间 的 会 话 ;各 部 分 完成 的 功能 如 下 。 

(1) 握手 协议 : 负责 客户 机 和 服务 器 之 间 会 话 的 加 密 参 数 。 当 一 个 SSL 客户 机 和 服 
务 器 第 一 次 开始 通信 时 ,传输 第 一 数据 字 节 以 前 ,彼此 确认 ,协商 一 种 加 密 算法 和 密码 钥 
是 ,在 一 个 协议 版 本 上 达成 一 致 ,选择 认证 方式 ,并 使 用 公 钥 技术 来 生成 共享 密 钥 。 在 数 
据 传输 期 间 ,记录 协议 利用 握手 协议 生成 的 密 钥 ,加 密 和 解密 后 来 交换 的 数据 。 

(2) 记录 协议 : 用 于 交换 应 用 数据 。 应 用 程序 消息 被 分 割 成 可 管理 的 多 个 数据 块 ， 
还 可 以 压缩 ,并 产生 一 个 MAC( 消 息 认 证 代码 ) ,然后 被 加 密 并 传输 。 接 收 方 接收 数据 并 
对 它 解密 , 校 验 MAC, 解 压 并 重新 组 合 ,把 结果 提供 给 应 用 程序 协议 。 

(3) 警告 协议 : 用 于 提示 在 什么 时 候 发 生 了 错误 ,或 两 个 主机 之 间 的 会 话 在 什么 时 
候 终止 。 

两 个 主要 的 子 协 议 是 握手 协议 和 记录 协议 ,提供 了 数据 私密 性 、 端 点 验证 、 信 息 完 整 
性 等 特性 。SSL 协议 通信 的 握手 步骤 如 下 。 

第 一 步 ,SSL 客户 机 连接 至 SSL 服务 器 ,并 要 求 服务 器 验证 它 自身 的 身份 。 

第 二 步 ,服务器 通过 发 送 它 的 数字 证 书证 明 其 身份 。 这 个 交换 还 可 以 包括 整个 证 书 
链 , 直 到 某 个 根 证 书 颁发 企业 (CA)。 通 过 检查 有 效 日 期 并 确认 证 书包 含 可 信任 CA 的 数 
字 签 名 来 验证 证 书 的 有 效 性 。 

第 三 步 ,服务 器 发 出 一 个 请 求 , 对 客户 端的 证 书 进行 验证 ,但 是 由 于 缺乏 公 钥 体系 结 
Vg ,当今 的 大 多 数 服务 器 不 进行 客户 端 认 证 。 

第 四 步 , 协 商用 于 加 密 的 消息 加 密 算 法 和 用 于 完整 性 检查 的 哈 希 函数 ,通常 由 客户 端 
提供 它 支持 的 所 有 算法 列表 ,然后 由 服务 器 选择 最 强大 的 加 密 算法 。 

第 五 步 ,客户 机 和 服务 器 通过 以 下 步 又 生成 会 话 密 钥 。 

客户 机 生成 一 个 随机 数 , 并 使 用 服务 器 的 公 钥 (从 服务 器 证 书 中 获取 ) 对 它 加 密 , 以 送 
到 服务 器 上 。 服 务 器 用 更 加 随机 的 数据 (客户 机 的 密 钥 可 用 时 则 使 用 客户 机 密 钥 ,否则 以 
明文 方式 发 送 数据 ) 响 应 。 使 用 哈 希 函数 从 随机 数据 中 生成 密 钥 。 
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SSL VPN 一 般 的 实现 方式 是 在 浏览 器 中 设置 SSL 代理 服务 器 。 首 先 浏览 与 代理 服 
务 器 建立 TCP 连接 ,并 向 其 发 出 与 远 端 Web 服务 器 连接 的 消息 ,然后 代理 服务 器 与 Web 
服务 器 建立 TCP 连接 ,此 时 这 个 代理 服务 器 完全 成 为 内 容 转发 装置 。 浏 览 器 与 Web 服 
务 器 建立 了 一 个 安全 通道 ,由 于 这 个 安全 通道 是 端 到 端的 ,尽管 所 有 的 消息 经 过 代理 服务 
器 ,但 其 内 容 代 理 服 务 器 是 无 法 解密 和 改动 的 。 

一 个 完整 SSL VPN 的 运行 步 又 如 下 。 

管理 员 在 配置 完 SSL VPN 资源 之 后 ,远程 终端 用 户 首先 通过 SSL 协议 来 访问 总 部 
SSL VPN。 用 户 在 浏览 器 的 地 址 栏 输入 HTTPS 格式 的 访问 地 址 ,在 HTTP 层 将 用 户 需 
求 翻译 成 HTTP 请 求 并 送 至 SSL 层 ;SSL 层 借助 下 层 协议 的 信道 协商 出 一 份 加 密 密 钥 ， 
并 用 此 密 钥 来 加 密 HTTP 请 求 ; 加 密 后 的 HTTP 请 求 通过 TCP 层 的 443 端口 与 SSL 
VPN 建立 连接 ,传递 SSL 处 理 后 的 数据 。 

SSL VPN 收 到 加 密 的 数据 包 之 后 ,在 SSL 层 通过 协商 出 的 加 密 密 钥 来 解密 ,再 将 翻 
译 出 的 数据 送 至 应 用 层 。 此 后 ,远程 终端 用 户 将 打开 SSL VPN 的 资源 管理 Web 页 面 ， 
并 在 HTTP 层 下 载 Active 控件 来 协商 与 中 心 SSL VPN 的 隧道 ,终端 用 户 通 过 与 总 部 
SSL VPN 已 经 建立 的 加 密 连接 ,协商 隧道 的 加 密 算法 、 验 证 算法 以 及 进行 端口 转换 的 端 
口号 和 通信 协议 。 隧 道 协 商 成 功 之 后 ,客户 端 将 会 启动 一 个 虚拟 网 卡 , 并 显示 为 已 连接 的 
状态 ,此 后 可 信任 资源 的 访问 都 将 通过 SSL VPN 加 密 传输 。 

远程 终端 用 户 通过 SSL VPN 访问 应 用 数据 的 时 候 , 传 输 过 程 如 下 。 

CD 应 用 程序 把 应 用 数据 提交 至 本 地 的 SSL; 

© 远程 终端 用 户 根据 需要 指定 的 压缩 算法 ,压缩 应 用 数据 ; 

© 远程 终端 用 户 把 应 用 数据 用 加 密 算法 加 密 , 再 按照 指定 的 协议 和 端口 号 通过 公 网 
网 络 传输 到 总 部 SSL VPN 网 关 ; 

@ SSL VPN 网 关 用 相同 的 加 密 算法 对 密 文 进行 解密 ,得 到 明文 ; 

© SSL VPN 网 关 用 相同 的 散 列 算法 对 明文 中 的 应 用 数据 散 列 ,计算 得 到 的 散 列 值 
和 明文 的 散 列 值 比较 ,如 果 一 致 , 则 明文 有 效 ; 和 否则 丢弃 该 报 文 。 

@ SSL VPN 网 关 将 明文 应 用 数据 转发 到 保护 子 网 的 资源 主机 ,资源 主机 对 该 应 用 
数据 包 处 理 之 后 再 向 远程 终端 用 户 回 包 ; 

© 经 过 SSL VPN 网 关 的 加 密 后 ( 同 远程 终端 相同 步骤 ) ,再 传输 至 远程 终端 用 户 ; 

© 远程 终端 用 户 的 SSL 层 接收 加 密 包 后 再 使 用 解密 算法 解密 ,并 将 该 应 用 数据 包 发 
送 至 用 户 的 应 用 层 。 

至 此 ,一 个 数据 包 经 过 SSL VPN 传输 的 过 程 完毕 ,如 图 A-24 所 示 。 


服务 器 
[€ 


3 SSLVPN Da © 


© rS 一 © 客户 机 


d) 
图 A-24 SSL VPN 传输 流程 
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O 本 地 应 用 数据 的 加 密 ; 

© 加 密 数据 传送 至 SSL VPN NI; 

© SSL VPN 网 关 将 解密 的 数据 传送 至 应 用 服务 器 ; 

@ 应 用 服务 器 的 处 理 ; 

© 处 理 后 的 数据 传送 至 SSL VPN 网 关 ; 

© SSL VPN 网 关 加 密 数据 包 后 传送 至 远 端 用 户 ; 

CD 本 地 接收 到 数据 后 解密 以 及 应 用 ; 

SSL VPN 是 解决 远程 用 户 访问 敏感 公司 数据 最 简单 最 安全 的 解决 技术 ,与 复杂 的 
IPSec VPN 相 比 ,SSL VPN 通过 简单 易 用 的 方法 实现 信息 远程 连通 。 任 何 安装 浏览 器 
的 机 器 都 可 以 使 用 SSL VPN ,这 是 因为 SSL 内 内在 浏览 器 中 ,不 需要 像 传 统 IPSec VPN 
一 样 必须 为 每 一 台 客 户 机 安装 客户 端 软件 。 

SSL 独立 于 应 用 ,任何 一 个 应 用 程序 都 可 以 享受 它 的 安全 性 而 不 必 理 会 执行 细节 。 
此 外 SSL 本 身 就 被 几乎 所 有 的 Web 浏览 器 支持 ,这 意味 着 客户 端 不 需要 为 了 支持 SSL 
连接 安装 额外 的 软件 。SSL VPN 的 目标 是 确保 用 户 随时 随地 安全 存 取 企 业 信 息 , 是 一 种 
低 成 本 、 高 安全 性 ,简便 易 用 的 远程 访问 VPN 解决 方案 ,非常 适合 以 Web 应 用 为 主 有 大 
量 客户 端的 用 户 。 

SSL VPN 的 主要 优点 表现 在 下 面 几 个 主要 的 方面 。 

CD 无 需 安装 客户 端 软 件 : 在 大 多 数 执行 基于 SSL 协议 的 远程 访问 是 不 需要 在 远程 
客户 端 设备 上 安装 软件 。 只 需 通 过 标准 的 Web 浏览 器 连接 因特网 , 即 可 以 通过 网 页 访问 
到 企业 总 部 的 网 络 资源 。 这 样 无 论 是 从 软件 协议 购买 成 本 上 ,还 是 从 维护 .管理 成 本 上 都 
可 以 节省 一 大 笔 资金 ,特别 是 对 于 大 .中 型 企业 和 网 络 服务 提供 商 。 

(2) 适用 大 多 数 设 备 : 基于 Web 访问 的 开放 体系 可 以 在 运行 标准 的 浏览 器 下 可 以 访 
问 任何 设备 ,包括 非 传 统 设备 ,如 可 以 上 网 的 电话 和 PDA 通信 产品 。 这 些 产 品目 前 正在 
逐渐 普及 ,因为 它们 在 不 进行 远程 访问 时 也 是 一 种 非常 理想 的 现代 时 尚 产品 。 

CD 适用 于 大 多 数 操作 系统 : 可 以 运行 标准 的 因特网 浏览 器 的 大 多 数 操作 系统 都 可 
以 用 来 进行 基于 Web 的 远程 访问 ,不 管 操作 系统 是 Windows, Macintosh, UNIX 还 是 
Linux。 可 以 对 企业 内 部 网 站 和 Web 站 点 进行 全 面 的 访问 。 用 户 可 以 非常 容易 地 得 到 基 
于 企业 内 部 网 站 的 资源 ,并 进行 应 用 。 

(4) 支持 网 络 驱动 器 访问 : 用 户 通过 SSL VPN 通信 可 以 访问 在 网 络 驱动 器 上 的 
资源 。 

(5) 良好 的 安全 性 : 用 户 通过 基于 SSL 的 Web 访问 并 不 是 网 络 的 真实 节点 ,就 像 
IPSec 安全 协议 一 样 ,而 且 还 可 代理 访问 公司 内 部 资源 。 因 此 ,这 种 方法 可 以 非常 安全 
的 ,特别 是 对 于 外 部 用 户 的 访问 。 

(6) 较 强 的 资源 控制 能 力 : 基于 Web 的 代理 访问 允许 公司 为 远程 访问 用 户 进 行 详尽 
的 资源 访问 控制 。 

(7) 减少 费用 : 为 那些 简单 远程 访问 用 户 ( 仅 需 进 入 公司 内 部 网 站 或 者 进行 Email 通 
信 ) ,基于 SSL 的 VPN 网 络 可 以 非常 经 济 地 提供 远程 访问 服务 。 

(8) 可 以 绕 过 防火 墙 和 代理 服务 器 进行 访问 : 基于 SSL 的 远程 访问 方案 中 ,使 用 
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NAT( 网 络 地 址 转换 ) 服 务 的 远程 用 户 或 者 因特网 代理 服务 的 用 户 可 以 从 中 受益 ,因为 这 
种 方案 可 以 绕 过 防火 墙 和 代理 服务 器 进行 访问 公司 资源 ,这 是 采用 基于 IPSec 安全 协议 
的 远程 访问 所 很 难 或 者 根本 做 不 到 的 。 

上 面 介 绍 SSL VPN 技术 这 么 多 优势 ,那么 为 什么 现在 不 是 所 有 用 户 都 使 用 SSL 
VPN, 且 据 权 威 调 查 企 业 调查 显示 目前 绝 大 多 部 分 企业 仍 采用 IPSec VPN 呢 ? SSL 
VPN 的 主要 不 足 在 哪里 呢 ? 

(1) 必须 依靠 因特网 进行 访问 : 为 了 通过 基于 SSL VPN 进行 远程 工作 ,当前 必须 与 
因特网 保持 连通 性 。 因 为 此 时 Web 浏览 器 实质 上 是 扮演 客户 服务 器 的 角色 ,远程 用 户 的 
Web 浏览 器 依靠 公司 的 服务 器 进行 所 有 进程 。 正 因 如 此 ,如 果 因 特 网 没有 连通 ,远程 用 
户 就 不 能 与 总 部 网 络 进行 连接 ,只 能 单独 工作 。 

(2) 对 新 的 或 者 复杂 的 Web 技术 提供 有 限 支持 : 基于 SSL 的 VPN 方案 是 依赖 于 反 
代理 技术 来 访问 公司 网 络 的 。 因 为 远程 用 户 是 从 公用 因特网 来 访问 公司 网 络 的 ,而 公司 
内 部 网 络 信息 通常 不 仅 是 处 于 防火 墙 后 面 ,而 且 通 常 是 处 于 没有 内 部 网 TP 地 址 路 由 表 的 
空间 中 。 反 代理 的 工作 就 是 翻译 出 远程 用 户 Web 浏览 器 的 需求 ,通常 使 用 常见 的 URL 
地 址 重 写 方法 ,例如 ,内 部 网 站 也 许 使 用 内 部 DNS 服务 器 地 址 链接 到 其 他 的 内 部 网 链接 ， 
而 URL 地 址 重 写 必需 完全 正确 地 读 出 以 上 链接 信息 ,并 且 重 写 这 些 URL 地 址 ,以 便 这 
些 链接 可 以 通过 反 代理 技术 获得 路 由 , 当 有 需要 时 ,远程 用 户 可 以 轻松 地 通过 单 击 路 由 进 
入 公司 内 部 网 络 。 对 于 URL 地 址 重 写 器 完全 正确 理解 所 传输 的 网 页 结构 是 极其 重要 
的 ,只 有 这 样 才 可 正确 显示 重 写 后 的 网 页 ,并 在 远程 用 户 计算 机 浏览 器 上 进行 正确 地 

G) 只 能 有 限 地 支持 Windows 应 用 或 者 其 他 非 Web 系统 : 因为 大 多 数 基于 SSL 的 
VPN 都 是 基 Web 浏览 器 工作 的 ,远程 用 户 不 能 在 Windows, UNIX, Linux, AS400 或 者 
大 型 系统 上 进行 非 基于 Web 界面 的 应 用 。 虽 然 有 些 SSL 提供 商 已 经 开始 合并 终端 服务 
来 提供 上 述 非 Web 应 用 ,但 不 管 如 何 , 目 前 SSL VPN 还 未 正式 提出 全 面 支 持 , 这 一 技术 
还 有 待 讨 论 ,也 可 算是 一 个 挑战 。 

(4) 只 能 为 访问 资源 提供 有 限 安全 保障 : 当 使 用 基于 SSL 协议 通过 Web 浏览 器 进 
行 VPN 通信 时 ,对 用 户 来 说 外 部 环境 并 不 是 完全 安全 .可 达到 无 缝 连接 的 。 因 为 SSL 
VPN 只 对 通信 双方 的 某 个 应 用 通道 进行 加 密 ,而 不 是 对 在 通信 双方 的 主机 之 间 的 整个 通 
道 进行 加 密 。 在 通信 时 ,在 Web 页 面 中 呈现 的 文件 很 难 也 基本 上 无 法 保证 只 出 现 类 似 于 
上 传 的 文件 和 邮件 附件 等 简单 的 文件 ,这 样 就 很 难保 证 其 他 文件 不 被 暴露 在 外 部 ,存在 一 
定 的 安全 隐患 。 
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